linux系统中病毒怎么解决,Linux系统中了病毒,无法查杀

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量348 收藏
点赞数
文章标签: linux系统中病毒怎么解决

0x01 排查过程

11:10看到主机监控告警,告警内容为

cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]

看内容就是菜刀马执行,看目录发现是upload可以猜测是文件上传的问题。受影响的是两台负载的机器,其中一台报警了。

查看报警定位到被黑的JAVA项目进程为5916。

搜索上传路径下的JSP文件,找到了三个,很明显的JSP马。

-rw-r--r-- 1 admin admin 84496 Mar 19 2015 1394517320862.jsp

-rw-r--r-- 1 admin admin 6285 Mar 19 2015 1394619430391.jsp

-rw-rw-r-- 1 admin admin 139012 Mar 19 2015 1419589329217.jsp

不过这里的时间是2015年的。可能是被修改了时间,也可能15年的时候就被搞了。

这个项目基本没人访问,运维也没有切割Nginx Access_log文件,所以我查了下文件的访问记录。

219.150.180.18 - - [11/Nov/2015:11:49:14 +0800] "HEAD /background/upload/1394619430391.jsp HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" "-"

发现15年的时候有人访问过这个文件,不过返回状态码是404。

然后看到今天的日志

61.178.80.107 - - [16/Jan/2017:11:07:44 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 420

59.151.109.39 - - [16/Jan/2017:11:10:00 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 197

攻击者11:07访问的马,然后11:10告警。

下午看日志发现攻击者仍然在尝试上传。

0x02 处理措施

1)另一台机器上同样是有这三个马,删除JSP马。

2)Nginx限制upload目录下JSP访问。

3)与开发确认后,得知该后台已经不使用了,下线处理。

小树-旷野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LINUX系统病毒查杀及木马病毒服务手动删除
08-19
LINUX系统病毒查杀及木马病毒服务手动删除 LINUX系统病毒查杀及木马病毒服务手动删除是 LINUX 系统管理员必备的技能之一。在这个知识点,我们将学习如何手动删除系统病毒和木马服务。 一、病毒查杀 在 ...
LINUX顽固病毒查杀
08-19
LINUX顽固病毒查杀,管理员必备。LINUX顽固病毒查杀,管理员必备。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3712
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux服务器病毒后的清理方法
weixin_45625174的博客
05-15 1005
" -ls 和 find /usr/sbin/ -iname ".
linux 流量蠕虫 查杀,linux系统服务器的蠕虫病毒怎么清除
weixin_34868242的博客
05-15 850
满意答案可以用eset的nod32进行查杀Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。防范:防范此类病毒要堵住蠕虫病毒发作的...
Linux处置挖矿病毒样本演示
qq_39330735的博客
03-29 1386
Linux处理挖矿病毒
linux最简单的查杀病毒,linux查杀病毒的几个思路
weixin_39996478的博客
05-16 1905
1. tmp 目录下面2. 定时任务查找一下 crontab -e3. 病毒要下载 ps -ef|egrep "curl|wget" 查看是否有下载的命令4. top 一下看一下哪个占用cpu最高5. 查找目标文件 find / -perm 777 目录下777 权限的文件6. /etc/passwd下面的文件用户哪些可以登录,去掉不正常的可以登录用户/bin/bash7.查看 /et...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1297
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2015
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
linux病毒查杀win,如何在Win下查杀Linux恶意文件
weixin_28949779的博客
05-15 321
在对linux系统应急处理时,常需要查杀系统是否存在恶意文件,但纯手工检查的话,难免会有遗漏,虽然在linux系统也有一些专门门的查杀工具,但终究维护的人少,效果也不是非常明显,但如果先使用windows平台下的杀毒软件,去查杀linux文件的话,那效果是会强上一个等级,下面我们就来介绍下如何在windows下查杀linux系统文件的方法,提供一种思路:1.linux开启nfs,共享 ‘/ ‘...
Linux系统木马查杀
Saindy5828的专栏
02-18 618
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
系统linux清除勒索病毒,wannacry勒索病毒修复软件
weixin_39781323的博客
05-12 398
WannaCryransomware勒索者是一款比特币勒索病毒,最近全球很多人的电脑都了这款病毒,用户需要支付比特币才能解锁电脑。据说招的大多数都是win7用户,没有开启自动更新功能,没打三月份的补丁,西西本页为您带来解决办法!wannacry勒索病毒修复软件说明:wannacry勒索病毒专杀工具目前还没有出来,用户可以下载360安全卫士打上win7的最新补丁防御病毒,已经毒了的用户可以升级...
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
浅谈Linux操作系统安全防范策略.pdf
09-06
本文主要从系统启动和登录的安全性、限制网络访问、Linux病毒的防治、防止攻击和安装补丁方面探讨Linux操作系统安全防范的策略。 系统启动和登录安全性是Linux操作系统安全防范的重要方面。BIOS需要设置密码,并且...
Linux桌面环境安装防病毒软件.pdf
09-07
从2000年到2002年,Linux系统发现了多种病毒,例如Reman、Linux.Nanon、Adore、Cheese Worm等。因此,安装防病毒软件对于Linux系统的安全性变得非常重要。 Tkantivir是德国SEBASTIAN公司研发的一款专业防病毒软件...
科院1区】Matlab实现天鹰优化算法AO-RF锂电池健康状态估计算法研究.rar
最新发布
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
汽车行业数字化转型报告顶层规划设计.docx
08-02
汽车行业数字化转型报告顶层规划设计.docx
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文
08-02
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文 自国证券市场产生以来,投资者进行投资理财迫切需要有一个科学的理论依据,在众多投资理论体系,确定企业的价值和股票的价值,是一个重要的流派。著名的投资专家巴非特就是通过分析企业的内在价值,寻找价值被低估的股票,等到市场认可了该企业的价值,再将股票抛出,从而获得了的投机收益,其管理的基金也一度成为世界上最成功的投资基金之一。从西方国家理论界对相关领域的研究结果来看,也取得了一些成果,包括:CAPM 模型、 ICAPM模型、APT模型等,也有人用市盈率方法对股票进行定价。国内在相关的领域也取得了一些研究成果。然而,尽管国内外理论界研究成果较多,但真正适应国证券市场、适应国广大投资者的切实有效的理论至今仍是一个空白。在国这样一个特殊的背景下,股权结构的特殊性、证券市场初创时期的投资性等因素,使得一些模型受到挑战,而且这些模型的精确化程度也受到限制,有必要探求新的思路和方法,为广大的投资者提供切实可靠的操作依据。对股票的价值进行评估必须综合尽可能全面的因素才能使得这些评估更加科
linux 查杀病毒
09-15
要在Linux查杀病毒,可以按照以下步骤进行操作: 1. 首先,使用命令`ls -l proc/{进程号}/exe`获取被感染文件的绝对路径。将这个文件下载下来,并上传到VirusTotal网站进行扫描。如果VirusTotal显示有相关的病毒信息,那么可以确定该文件确实是病毒。 2. 如果VirusTotal没有显示病毒信息,可能是因为该种类型的病毒还没有被其他用户提交。在这种情况下,可以进行进一步的检查。 3. 使用命令`systemctl status pid(进程号)`查看指定进程的状态。如果发现该进程是挖矿病毒的守护进程,可以执行`kill -9 pid1 pid2…`来终止该进程。然后使用`killall -9 XX`命令强制终止XX挖矿病毒的所有进程。 需要注意的是,以上方法只适用于已知的病毒类型,并不能保证能够完全清除所有病毒。在遇到病毒问题时,建议及时更新操作系统、安装杀毒软件并定期进行全盘扫描,以提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值