linux系统中毒的解决过程,linux中毒排查过程

最新推荐文章于 2024-05-15 09:03:54 发布
最新推荐文章于 2024-05-15 09:03:54 发布
阅读量1.4k 收藏 2
点赞数
文章标签: linux系统中毒的解决过程

0x01 排查过程

异常进程发现:

/usr/bin/.sshd

[kworker95]

在开机启动中发现:

77fccd175c6ed8bb5e7df68e4bb6a5ce.png

/tmp下的异常文件

6785a8c8e4086c137d614e11ef4e266d.png

异常的网络连接

43fff1f944c82e362de3c7627e212fde.png

使用lsof的时候发现返回内容不正常,查看下lsof

2aa8ac2bc1b8f906ba2f3f4ee1f6392b.png

mtime为10:46,并且大小不正常,很明显命令被替换了。

看下/usr/bin/下

5580fe2edc2c19fc3c7ffb73231f917b.png

/use/sbin下

df0a51eff8bf42ac751437596c954149.png

然后检查了cron、rc3等没有发现异常。

0x02 处理过程

[root@localhost tmp]# chmod 000 conf.n moni.lod gates.lod \[kworker95\] /usr/bin/.sshd

[root@localhost tmp]# chattr +i /tmp /usr/bin /usr/sbin

删除rc.local中的异常内容,并重启服务器。

[root@localhost tmp]# chattr -i /tmp /usr/bin /usr/sbin

[root@localhost tmp]# rm -f conf.n moni.lod gates.lod \[kworker95\] /usr/bin/.sshd

然后从其他机器拷贝lsof和ss替换。

weixin_39774682
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
可用于windows下的bind
10-19
- 在Windows系统上部署Bind可以提供跨平台的DNS解决方案,这对于拥有混合环境(Windows与Linux)的企业尤其有用。 - 安装这个Windows版本的Bind可能涉及到配置服务、设置区域数据、解决依赖性问题等。 3. **...
dns错误检测源码
12-30
`libcap`库通常用于在Linux系统中获取和修改进程的权限,尤其是网络相关的权限。在DNS错误检测中,可能需要使用libcap来捕获和分析网络数据包,确保程序有足够的权限执行DNS查询。`libcap_test`可能是一个测试程序...
linux服务器中毒排查--基础篇
qq_41671415的博客
04-18 4456
先是发现linux常见命令wget,curl不见了,以为是误操作没了,发现历史命令都没了,就很不正常,但是top也没见有啥高消耗进程,就没在意,,yum安装命令时竟然显示安装了,rpm -qa 截取查看命令也在,神奇啊 但是就yum下载时显示域名解析失败,修改resove文件权限拒绝!!我就懵逼,查看隐藏权限后发现有i和额,使用chattr去除时显示权限不够!!!这人牛皮了,把命令执行权限去掉了,chmod加上继续执行 继续yum安装curl,但是还是安装不了,显示有yum进程在运行,,就有点懵逼,ps看
Linux服务器中毒事件(libudev.so)
anhuoqiu1787的博客
06-21 359
  今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下: 1、查看主机负载,确认可疑进程 PID USER PR NI VIR...
Linux服务器中了病毒后的清理方法
最新发布
weixin_45625174的博客
05-15 880
" -ls 和 find /usr/sbin/ -iname ".
linux系统中毒排查学习记录
anyangyu0343的博客
05-27 572
linux有许多的版本,主要关注redhat(centos)和ubuntu这两个主流版本 以下命令基本都需要root权限,执行命令前记得加sudo 第一步 top,ps命令查看系统资源和负载情况,查看是否有异常的程序,kill命令杀掉异常程序或高负载程序 第二步 查看/etc/passwd是否有异常或隐藏用户,usermod -L xxx禁用该用户 第三步 查看开机启动日志...
linux服务器中毒可疑进程sfewfesfs CPU80%
weixin_30401605的博客
11-16 376
我用的是linux, 难免会有漏洞,不知怎么就被莫名其妙地给入侵了,而且还频繁发包。下面是我查看攻击机器的整个过程。 首先跟客户要了root密码登录看,第一个命令是就top cd /proc/25445 ; ll查到该进程的老家(路径) 把这个可以的进程删掉。问题依旧,它还会自动生成: 好顽固呀! 想到以命令strace:strace -tt -p 27138(进程号) ...
运维面试题 含答案 .pdf
06-21
中毒之后一般机器 cpu、内存使用率会比较高,机器向外发包等异常情况,可以使用 iftop、netstat、top 等命令来排查问题。 系统或网络维护工具 * rhel、centos、ubuntu 是常用的 Linux 发行版。 * iotop 是用于检查...
运维面试题(含答案).pdf
06-21
1. Linux系统中病毒如何解决? - 找到病毒文件然后删除 - 中毒以后一样机械cpu、内存利用率会比较高,机械向外发包等异样情形,排查方式: - Linux效劳器流量剧增,使用iftop查看有连接外网的情形 - netstat连接...
电信通信电气计算机网络A卷.doc
11-15
Linux系统中,使用`ifconfig`或`ip addr show`命令查看网络配置信息。要查询域名的IP地址,可以使用`nslookup`或`dig`命令。发送网络信使服务消息`net send`在Windows系统中实现,但请注意,这个功能在较新的...
linux机器中毒,Centos系统中毒(sfewfesfs)处理过程记录
weixin_42309599的博客
05-14 791
Centos系统中毒(sfewfesfs)处理过程记录2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一时间不知所措,但是问题总是要解决靠别人不如靠自己到什么时候都是如此废话不多说具体的排查步骤如下:1、用top性...
linux电脑中毒怎么办,linux服务器中毒利用Find查找病毒例子linux操作系统 -电脑资料...
weixin_39517357的博客
05-13 158
网站服务器难免会出现,漏洞被挂马、挂黑链,下面我们就来给各位整理利用find命令来快速找出问题的文件出来,例子代码如下复制代码find wwwroot/* -type f -name “*.php” |xargs grep “eval(” > wwwroot/eval.txtfind wwwroot/* -type f -name “*.php” |xargs grep “udp:” &gt...
linux中病毒排查步骤,linux系统下病毒排除思路
weixin_39582724的博客
05-14 3036
1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改2、ls -la/proc/病毒进程pid/ pwd为病毒进程程序目录 一般在/usr/bin下3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps 改成了ips4、进入/usr/bin下 ls -lart 查看最近被修改的程序 .25unix为守护进程5、杀死守护进...
服务器中毒怎么办
LuHai3005151872的博客
09-03 1539
一般服务器的网络吞吐量大,所以病毒和木马的传播速度也很快。服务器中毒一般都是通过使用备份恢复的。 如果没有备份,建议如下: 1,将服务器下线,进行必要的数据备份; 2,确定病毒种类,使用专杀工具查杀; 3,确认病毒数量及所及范围,进行重点查杀; 4,将感染程序分类,分别查杀掉; 5,将染毒软件数据库,存档文件与病毒分离,尝试从新安装软件,进行数据导入(比较麻烦); 6,进行新软件的稳定性测试; 7,如果是服务类的服务器,可以使用Linux2.6以上版本管理计算机。 ...
记一次阿里云linux服务器中毒处理
bggl的博客
03-24 965
记一次阿里云linux服务器中毒处理 事件 定位进程 人肉筛查 clamav 来源 参考 事件 阿里云告警: 您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。 登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。 定位进程...
一次Linux服务器被***和删除***程序的经历
weixin_34250709的博客
01-31 144
一、背景    晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中***了,被人当做肉鸡了,在大量发包。    我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现并...
Linux系统中毒,应急方法
m0_62207482的博客
02-23 1096
11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数(evel、system、shell_exec、exec、passthru system、popen) 进行查杀Webshell 后门。4、用 netstat -antlp|more命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件路径,运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的pid 号);
linux系统中病毒怎么解决,Linux 服务器中木马病毒及清除过程
weixin_39731456的博客
04-29 1769
一、背景晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现并追踪处理1、查看流量...
LINUX 服务器中病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
80后大叔爱学习
09-30 2432
服务器中病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
Linux系统启动的五个阶段解析
"Linux系统启动过程详解" ...理解Linux启动过程对于系统管理员和开发者来说至关重要,因为这有助于排查启动问题、优化启动性能以及对系统行为有深入的理解。通过学习这些知识,我们可以更好地管理和维护Linux系统

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值