记一次Linux Centos7病毒清理

最新推荐文章于 2024-09-21 19:59:03 发布
最新推荐文章于 2024-09-21 19:59:03 发布
阅读量1.7k 收藏 7
点赞数 2
文章标签: linux 服务器 centos 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54281717/article/details/119452974
版权
本文讲述了作者在Linux测试环境中遭遇罕见病毒的过程,从卡顿现象追踪到伪装的nginx进程,通过iptables、crontab和文件搜索,最终定位并删除了隐藏在crondr脚本中的恶意程序。展示了如何在看似安全的系统中发现并消除威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记一次在工作中测试环境下中病毒的处理解决办法,都说linux系统非常安全,但是很多人百年一遇的病毒被我遇上了,公司三台测试环境服务器中招。

最开始系统突然变得很卡,使用top命令查看资源占用情况,发现有一个nginx进程占用非常高的cpu,但是!这机器上根本没有装nginx。。。于是开始一系列排查。

想要使用kill命令结束进程结果没有几秒钟进程又自动启动了

使用ps -ef | grep 31990 查看进程发现没有这个名叫nginx的进程,初步判断是木马进行了伪装,接下来使用lsof -p 31990进行排查

 发现本机一直与一个陌生ip进行通信,查了一下这个ip所在地为阿姆斯特丹。。。于是使用iptables防火墙了阻止了这个ip的访问,然后再kill掉进程发现伪装成nginx的木马程序不会再自启

想到之前结束掉木马进程又自启的情况,病毒肯定配置了计划任务和开机自启,使用crontab -l查看并没有发现定时任务,cat /etc/crontab也同样没有,但是在/etc/cron.d/下面发现有病毒脚本。(涂抹部分是某台同样中毒机器的ip),注意:下图中脚本里的病毒程序就存在于/bin/名叫crondr,终于发现了源头,果断删除

另外,在根下全盘搜索病毒脚本,在下图这些目录中都发现了存在的病毒脚本,果断统统删除

 世界终于恢复了平静。。。

彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔068
添柴程序猿的专栏
12-11 881
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
一次清理挖矿病毒的过程
邓邓子的博客
07-05 2158
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
Centos7病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 532
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
linux服务器Centos7病毒
on the way . . .
03-23 2953
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
centos7 安装clamav 进行病毒扫描查杀
热门推荐
夏冬丶王阳旭
05-03 2万+
linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,一般都是管理员手动分析进行查杀,除了手动分析查杀病毒外,还可以借助杀毒软件进行查杀,就像windows都有杀毒软件一样,liunx的杀毒软件也是有的,但基本上都是开源的小工具,由于本身linux服务器病毒就较少,且相对windows更难以入侵,所以专门的Linux杀毒软件较少,专门研
centos7安装clamAV进行病毒扫描查杀
chongyong1004的博客
12-07 2293
centos7安装clamAV进行病毒扫描查杀 ClamAV简介 随着linux服务器在市场上的占用率的飙升,正对linux系统的病毒也开始增加了,所以,我们还是使用更为专业的杀毒软件,这里选择开源的ClamAV 杀毒软件。 PS: 在网上的文档,总是各种步骤一大堆,又要改配置这的那的,其实...
Centos7病毒[tsm][kswapd0] 被黑造成cpu过高,杀死自有排查
qq_25831105的博客
01-04 788
Centos7病毒排查[tsm][kswapd0] tsm被黑录–录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询源文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1876
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
Centos系统简单的病毒处理
从删库到跑路吧~
08-10 8196
一次遇到服务器被植入了挖矿程序,慌的一匹。下面说说我处理这个故障的简单操作, 每天早晨上班第一件事就是打开监控,查看服务器资源占用情况,发现我服务器的双核CPU一直占用率100%。 通过xshell连接,使用top命令再次查看确认 这个xig不知道是什么鬼程序,通过群里的大佬说使用 lsof  -p  16241(PID号) 查看下这个进程调用了那些程序; 看完这些才发现还是一脸...
CentOS被攻击的分析过程_centos7(1)
2401_87378079的博客
09-21 1184
由于服务器不停向外发包,因此,首先要做的就是将此服务器断开网络,然后分析系统日志,寻找攻击源。但是系统命令已经被替换掉了,如果继续在该系统上执行操作将变得不可信,这里可以通过两种方法来避免这种情况,第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析,另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径,然后在执行命令的时候指定此命令的完整路径即可,这里采用第二种方法。
【安全脚本】 centos 下的病毒木马查杀脚本
2401_83817024的博客
04-09 891
阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!**
【安全脚本】 centos 下的病毒木马查杀脚本,vivo网络安全面试
2401_84436905的博客
04-17 868
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。/usr/local/clamav/bin/clamscan -r --bell -i / (扫描所有文件并且显示有问题的文件的扫描结果)当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。最后就是项目实战,这里带来的是。
清除Linux centOS7挖矿病毒
李嘉图呀李嘉图的博客
05-18 859
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99% 未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。 先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够) kill -9 26136 找到运行的进程,确定进程位置为 /bin/exin $ ps -a |grep 进程号 删除程序,直接删除不成功,必须先执行 chattr -ia
【网络安全】Centos7安装杀毒软件----ClamAV
dzqxwzoe的博客
01-28 6120
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
centos7解决病毒入侵 getty
qq_38215042的博客
08-26 529
【代码】centos7解决病毒入侵 getty。
【安全脚本】 centos 下的病毒木马查杀脚本,Python程序员必看
weixin_58085973的博客
03-28 510
shell脚本的熟练程度,其实就是Linux操作系统的熟练程度。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Python工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
一次centos7.3系统中病毒排查经历
Focus on k8s and python
09-05 9191
      一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。 如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p <PID>,查看一个病毒进程,结果如下 lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。 于是用ps命令查看进程情况,竟然发现无法列出...
linux机器中毒,Centos系统中毒(sfewfesfs)处理过程
weixin_42309599的博客
05-14 879
Centos系统中毒(sfewfesfs)处理过程录2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一时间不知所措,但是问题总是要解决靠别人不如靠自己到什么时候都是如此废话不多说具体的排查步骤如下:1、用top性...
启动centos 7 删除自启动脚本
huxiaochao_6053的博客
09-12 635
找到centos 7 core 按 e 找到rhgb quite换成 init=/bin/sh 找到ro 换成rw 按ctrl+x执行 #进入自启动脚本目录 cd /etc/initd.d/ #删除自启动脚本 rm 脚本名称
linux系统卸载clamav
最新发布
05-13
### 如何在Linux系统中完全卸载ClamAV 要在Linux系统中完全卸载ClamAV及其相关组件,可以按照以下方式操作。以下是基于YUM包管理器(适用于CentOS、RHEL等发行版)的操作指南。 #### 卸载ClamAV及相关依赖项 可以通过`yum remove`命令来移除已安装的ClamAV软件包以及其关联的子模块: ```bash sudo yum remove clamav* -y ``` 这条命令会删除所有与ClamAV相关的程序文件和配置文件[^2]。 #### 清理残留数据 即使通过上述步骤成功卸载了ClamAV,仍可能存在一些未被自动清理的数据或目录。为了彻底清除这些内容,需手动执行如下操作: 1. **删除数据库缓存** ClamAV通常会在特定路径存储病毒定义文件和其他临时资料。如果希望一并清除此类资源,则运行下列指令: ```bash sudo rm -rf /var/lib/clamav/* ``` 2. **移除日志录** 日志对于排查问题很有帮助,但在完成卸载之后可能不再需要它们。因此可以选择将其删去以释放磁盘空间: ```bash sudo find /var/log/ -name "*clam*" -exec rm {} \; ``` 3. **消除自定义设置** 用户可能会依据个人需求调整过某些参数或者创建额外脚本;此时也应考虑把这些定制化部分予以处理掉。比如编辑过的主配置文档位于 `/etc/clamd.conf` 和 `/etc/freshclam.conf` ,可以直接连同整个父级夹一起销毁: ```bash sudo rm -rf /etc/{fresh,}clam* ``` 以上动作均涉及敏感区域,请务必谨慎行事以免误伤其他正常运作的服务! #### 验证是否已经彻底卸载干净 最后一步就是确认确实没有任何残余痕迹留存于目标主机之上。一种简单的方法便是再次尝试重新部署相同版本号的新实例看会不会报错冲突之类的信息出来即可知晓结果如何啦~ --- ### 注意事项 - 如果您使用的是Debian系发行版(如Ubuntu),则应该替换 `yum` 命令为 `apt-get` 或者 `dpkg` 来实现相似功能。 ```bash sudo apt-get purge clamav* -y && sudo apt autoremove -y ``` - 对于源码编译安装的情况,由于缺乏统一的标准流程指导具体做法会有很大差异度所以这里不做深入探讨仅提供思路参考而已哦~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-满心欢喜-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值