记一次Linux Centos7病毒清理

最新推荐文章于 2024-05-11 12:09:03 发布
最新推荐文章于 2024-05-11 12:09:03 发布
阅读量1.2k 收藏 7
点赞数 2
文章标签: linux 服务器 centos 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54281717/article/details/119452974
版权

记一次在工作中测试环境下中病毒的处理解决办法,都说linux系统非常安全,但是很多人百年一遇的病毒被我遇上了,公司三台测试环境服务器中招。

最开始系统突然变得很卡,使用top命令查看资源占用情况,发现有一个nginx进程占用非常高的cpu,但是!这机器上根本没有装nginx。。。于是开始一系列排查。

想要使用kill命令结束进程结果没有几秒钟进程又自动启动了

使用ps -ef | grep 31990 查看进程发现没有这个名叫nginx的进程,初步判断是木马进行了伪装,接下来使用lsof -p 31990进行排查

 发现本机一直与一个陌生ip进行通信,查了一下这个ip所在地为阿姆斯特丹。。。于是使用iptables防火墙了阻止了这个ip的访问,然后再kill掉进程发现伪装成nginx的木马程序不会再自启

想到之前结束掉木马进程又自启的情况,病毒肯定配置了计划任务和开机自启,使用crontab -l查看并没有发现定时任务,cat /etc/crontab也同样没有,但是在/etc/cron.d/下面发现有病毒脚本。(涂抹部分是某台同样中毒机器的ip),注意:下图中脚本里的病毒程序就存在于/bin/名叫crondr,终于发现了源头,果断删除

另外,在根下全盘搜索病毒脚本,在下图这些目录中都发现了存在的病毒脚本,果断统统删除

 世界终于恢复了平静。。。

-满心欢喜-
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CentOS7清除wnTKYg木马
紫眸的博客
06-11 6640
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个录。 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了 感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招 systemctl stop redis 接下来 如果/root/.
centos7 安装clamav 进行病毒扫描查杀
热门推荐
夏冬丶王阳旭
05-03 2万+
linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,一般都是管理员手动分析进行查杀,除了手动分析查杀病毒外,还可以借助杀毒软件进行查杀,就像windows都有杀毒软件一样,liunx的杀毒软件也是有的,但基本上都是开源的小工具,由于本身linux服务器病毒就较少,且相对windows更难以入侵,所以专门的Linux杀毒软件较少,专门研
2024年最新【安全脚本】 centos 下的病毒木马查杀脚本(1),2024年最新应聘高级网络安全工程师历程感言
最新发布
2401_84300128的博客
05-11 326
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
centos7安装clamAV进行病毒扫描查杀
chongyong1004的博客
12-07 2194
centos7安装clamAV进行病毒扫描查杀 ClamAV简介 随着linux服务器在市场上的占用率的飙升,正对linux系统的病毒也开始增加了,所以,我们还是使用更为专业的杀毒软件,这里选择开源的ClamAV 杀毒软件。 PS: 在网上的文档,总是各种步骤一大堆,又要改配置这的那的,其实...
Centos7病毒[tsm][kswapd0] 被黑造成cpu过高,杀死自有排查
qq_25831105的博客
01-04 686
Centos7病毒排查[tsm][kswapd0] tsm被黑录–录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询源文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
清除Linux centOS7挖矿病毒
李嘉图呀李嘉图的博客
05-18 768
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99% 未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。 先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够) kill -9 26136 找到运行的进程,确定进程位置为 /bin/exin $ ps -a |grep 进程号 删除程序,直接删除不成功,必须先执行 chattr -ia
centos7-linux镜像文件
07-08
- centos7CentOS是一个基于Red Hat Enterprise Linux(RHEL)的开源操作系统,CentOS 7是其第七个主要版本,提供长期支持,适合企业级服务器应用。 - linuxLinux是一种自由和开放源代码的类UNIX操作系统内核,...
Linux centos7 字符安装教程
12-23
在IT领域,Linux CentOS 7 是一个广泛使用的开源操作系统,尤其在服务器环境中非常流行。它基于RHEL(Red Hat Enterprise Linux),提供了稳定和安全的平台,适合各种企业级应用。这篇教程将指导您如何通过字符界面...
centos7镜像linux64
08-13
linux centos7镜像 64位
Linux虚拟机CentOS7mini版
01-19
一次CentOS7因断电导致宕机的修复过程.pdf
08-28
本文档录了一次 CentOS 7 服务器因断电导致宕机的修复过程。该服务器的修复过程中遇到了许多问题,包括 fstab 文件的缺失、分区表的损坏、root 分区的损坏等问题。通过对这些问题的解决,最终成功地修复了服务器。...
【网络安全】Centos7安装杀毒软件----ClamAV
dzqxwzoe的博客
01-28 2789
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完。
linux服务器Centos7病毒
on the way . . .
03-23 2744
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
启动centos 7 删除自启动脚本
huxiaochao_6053的博客
09-12 547
找到centos 7 core 按 e 找到rhgb quite换成 init=/bin/sh 找到ro 换成rw 按ctrl+x执行 #进入自启动脚本目录 cd /etc/initd.d/ #删除自启动脚本 rm 脚本名称
阿里云centos7 服务器XorDDoS木马查杀
07-09 4461
一、问题描述2018年6月份,阿里云搞活动大促销,本人花了298元购买了一台阿里云centos 服务器(3年),期间部署了反向代理软件frpc,用来打通内网WEB服务等场景的应用,期间没做什么特别的防护设置,6月下旬以来,邮箱一直提示: 通过阿里云管理控制台查看,服务器被IP107.179.35.251(美国加利福尼亚州)SSH暴力破解了,并且存在异常的远程登录录。二、异常现象初定位通过Xshe...
Centos7病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 448
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔068
添柴程序猿的专栏
12-11 510
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 895
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
Linux CentOS 7.2 排查系统木马
jayhidden的专栏
01-28 3073
从未在Linuxxito系统上排查过木马,今天遇到了,录一下。 首先发现redis里的数据被篡改了,并且 crontab -l 查看计划任务,发现root用户多了像wget,curl这样访问外部链接的东西,然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件,还有.swm,swo文件??? 打开其中的一个rdb文件,又发现了是在远程下载一个sh文件,怀疑这可能是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-满心欢喜-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值