linux 病毒程序自动启动进程分析,linux系统下病毒排除思路

最新推荐文章于 2024-05-15 09:03:54 发布
最新推荐文章于 2024-05-15 09:03:54 发布
阅读量801 收藏 1
点赞数 1
文章标签: linux 病毒程序自动启动进程分析

1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改

41f11cbce2d40ef5785f8818fb1dcb01.png

2、ls -la /proc/病毒进程pid/  pwd为病毒进程程序目录 一般在/usr/bin下

3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps  改成了ips

4、进入/usr/bin下  ls -lart 查看最近被修改的程序 .25unix为守护进程

368b4379b595d8b5ed58db55d706fd15.png

5、杀死守护进程 (先去掉i权限,然后删除,chattr命令被删除,去一台正常设备上拷贝一个正常的charrt命令,在/usr/sbin/下)

主要命令:

/tmp/chattr –I /usr/bin/.25unix

rm –rf /usr/bin/.25unix

top出病毒进程并杀死

然后刹子进程

ips -ef |grep "/usr/bin/"

kill -9 杀死进程(或者使用脚本文件)

c84d8ac2b32a1f32082754025cb1062c.png

6、删除程序

/tmp/chattr -i 34 lockr .locks  dget .bget gurl .curl iss  nets dpkgd/* ips .25unix

/tmp/chattr -i /bin/ps

/tmp/chattr -i /bin/ss

/tmp/chattr -i /bin/netstat

/tmp/chattr -i /etc/init.d/Me8ing.conf(将病毒启动目录删除)

/tmp/chattr -i /etc/rc.local(vi将病毒自启项删除)

7、恢复命令

cp /usr/bin/ps /bin/ps

cp /usr/bin/ss /bin/ss

cp /usr/bin/netstat /bin/netstat

a578db2bb292d5389795189d3cd29bd4.png

恢复被修改的程序

a1317702082bee765fdd48f80b8f1d96.png

8、中毒后文件变化及修复

/etc/rc.local权限改了,而且添加了一个开机启动项,/etc/init.d/下也有病毒启动程序

/tmp/chattr -i /etc/rc.local

lsattr、chattr命令被删除

开机自动启动文件增加2个启动项

查看大小是否正常

ls -lh /bin/netstat

ls -lh /bin/ps

ls -lh /usr/sbin/lsof

ls -lh /usr/sbin/ss

ips -ef |grep "/usr/bin/"

kill -9 杀死进程

执行/tmp/chattr +i  将/usr/bin/ /bin/ /etc/ 目录加上i权限,不允许创建.修改和删除文件

内容来源于网络如有侵权请私信删除

weixin_39940425
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 642
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
linux 病毒程序自动启动进程分析,Linux上一个恶意程序分析实例:一步一步揭开病毒程序的面纱...
weixin_42567497的博客
04-29 421
本节我们结合前面的知识点,通过动手实践来分析一个”恶意“程序。这次我们使用的例子具有极强的动手实践性,它也非常能代表恶意程序入侵系统的很多流程步骤,跟着做下来你一定收获颇多。首先我们需要获得要分析的程序对象,其下载地址为:链接:https://pan.baidu.com/s/1ygGvONkmdeD7d9YJ9plajw密码: w855通过上面链接下载相应文件后上传到Linux系统上,我们就可以开...
Linux服务器中了病毒后的清理方法
最新发布
weixin_45625174的博客
05-15 826
" -ls 和 find /usr/sbin/ -iname ".
linux 病毒程序自动启动进程分析,Linux病毒(木马)导致带宽跑满的解决过程
weixin_29549793的博客
04-29 674
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现异常,查看数据库也都正常,也没有错误日志,查看系统日志,也没有看到异常,但是系统的登录日志被清除了,赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。这是个什么进程呢,每次p...
linux-隐藏进程-病毒进程
weixin_41410744的博客
09-11 170
错误:ld.so:无法预加载/etc/ld.so.preload中的对象“/usr/local/lib/bioset.so”:忽略。
linux病毒进程追踪,教你从进程中把病毒和木马找出来
weixin_29496207的博客
04-30 1198
教你从进程中把病毒和木马找出来[日期:2007-07-27]来源:Linux公社作者:Linuxidc[字体:大 中 小]在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果sv...
查杀Linux服务器病毒进程并对Linux中的文件描述符FD进行简单探索
得未曾有 心净踊跃
10-10 661
内存映射文件是一种将文件内容映射到进程的虚拟内存空间的机制,允许对文件进行像访问内存一样的操作。,每一个符号链接指向该进程打开的文件、套接字、管道。个人觉得在文件系统中他的呈现就是一个符号链接,可以通过该符号链接获取进程打开的文件或。上图是我在服务器上查到的病毒程序,为了彻底把他干掉,同时满足自己的好奇心,我没有直接把干掉。在今天查杀服务器病毒程序的过程中,顺便挖掘了一些新的知识,现在把他总结成一篇文章记录一下。:当前进程的工作目录,表示当前进程的工作目录。查看该进程和哪些文件有关,加深对FD的理解。
Linux服务器Java进程消失问题解决
08-25
有时 Linux 系统或者系统上运行的 Java 或者其它进程,会发生一些莫名其妙的问题,比如突然挂掉了,比如突然重启等等。在软件上找不到问题所在,此时我们应该怀疑硬件或者内核的问题,此时我们就可以使用 dmesg 来...
Linux下的Sendmail管理技巧.pdf
09-07
总之,Linux下的Sendmail管理涉及多个方面,包括系统日志分析进程监控、日志安全、邮件服务配置和故障排查。熟练掌握这些技巧能有效保障邮件服务的稳定性和安全性,预防和解决可能出现的问题。对于网络管理员而言...
Linux 应急响应手册v1.3 发行版-s1
08-04
Linux 应急响应手册v1.3 发行版-s1 ...本手册提供了 Linux 操作系统的应急响应指南,涵盖了安全事件处理、故障排除、性能优化、进程管理、系统监控、网络管理、文件系统管理和远程管理等方面的知识。
Linux操作系统资料课程教学大纲.doc
09-22
4. 掌握 Linux 操作系统的安装、命令行操作、用户管理、磁盘管理、文件系统管理、软件包管理、进程管理、系统监测和系统故障排除。 5. 掌握 Linux 操作系统的网络配置、DNS、DHCP、FTP、SMTP 和 POP3 服务的配置与...
操作系统安全:ClamAV查杀恶意程序.pptx
06-01
1. **启动服务**:在Linux系统中,可以使用`service clamd start`命令启动ClamAV守护进程(clamd)。这使得ClamAV可以在后台运行并监听网络或文件系统的活动,以便实时检测潜在的威胁。 2. **检查服务状态**:使用`...
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
linux中毒进程名称vtthh1,记一次简单的linux病毒清理
weixin_33806343的博客
04-28 220
在一次更新服务器的时候,发现系统运行好像不太流畅,于是top一下看看进程情况,不看不知道,一看吓一跳,CPU竟然一直处于满载状态看到名字为vTtHH1的进程就明白是什么问题了——中毒,最近好像很多服务器都被人入侵用来做挖矿肉鸡,不用多说,这种情况肯定也是被人放了挖矿木马,否则谁会把自己的肉鸡给塞死呢?起码我不会,我巴不得我的木马不占资源,这样起码不会那么容易被管理员发现,可以长期在里面胡作非为Pa...
Linux入侵检测病毒清理流程
Climbman的博客
06-23 2364
Linux入侵检测病毒清理流程1.前言:根据阿里云快讯病毒公布:Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。
linux系统病毒怎么解决,Linux 服务器中木马病毒及清除过程
weixin_39731456的博客
04-29 1767
一、背景晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现并追踪处理1、查看流量...
linux感染十字符病毒,linux解决病毒系列之一,删除十字符libudev.so病毒文件
weixin_36338813的博客
05-12 286
前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。这病毒怎么解决了?比如病毒为:abcdefjhee1.whic...
Linux系统占用cpu病毒处理记录
一本正经学技术
09-24 1002
一、现象 近期服务器上面不知从哪里感染了病毒,导致CPU占用率特别高,中间临时处理过,由于不是专业处理,只能手动查看进程并结束进程ID号。 但手动的办法只能临时解决,病毒会再次启动,占用服务器cpu资源,查看定时任务,也没有相关任务记录。 crontab -l #无相关定时任务列表显示,如下图 二、经验 昨天刚处理过一台云服务器的kthreaddk病毒程序,处理方法简单记录如下: 1、查看异常进程,并kill掉,例如异常进程pid为26525 [root@hostname /]# kill -9 26
移动linux目录的病毒,记一次Linux病毒处理
weixin_39662578的博客
04-29 451
病毒特征比较明显,进程列表中会出现十位随机字母病毒进程,并占用大量CPU。除此之外还会在修改 /etc/crontab 和新增文件/etc/cron.hourly/gcc.sh 来启动定时任务。/etc/cron.hourly/gcc.sh 内容如下 脚本内容如下:打开网卡,然后启动 libudev.so。该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把...
Linux环境下C程序设计Linux程序设计进程间通信.pptx
11-13
Linux下的进程间通信的方法包含共享内存、信号量、管道通信、命名管道、消息队列等。 首先是共享内存,共享内存是指由一个进程创建并且可以被其他进程访问的内存段。共享内存是进程间通信方式中最快的IPC方式,通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值