公司服务器中了病毒,用了命令查找最近100天的可执行文件,找出病毒文件,并删除

当公司服务器流量异常升高时,发现中了病毒。通过find命令查找最近100天的可执行文件,定位到病毒文件,并使用ps和kill命令结束病毒进程。分析日志、检查异常进程,揭示了Linux.BackDoor.Gates.5木马的存在,手动清除步骤包括删除异常文件、重装系统或替换被替换的系统命令。
摘要由CSDN通过智能技术生成

公司服务器中了病毒,用了命令查找最近100天的可执行文件,找出病毒文件,并删除。然后ps -ef找到病毒的pid kill -9删除

find / -type f -perm  /111  -mtime -100

从网上找的其他人的文章,和我公司中的病毒一样,再此做个借鉴。

 

一、背景

    晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。

    我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。

二、发现并追踪处理

1、查看流量图发现问题

    查看的时候网页非常卡,有的时候甚至没有响应。

wKiom1as-dyQlUCeAAFWXnyaceU258.png

2、top动态查看进程

    我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。

wKioL1as-nOSab6eAACPx1Gw2qc060.png

3、ps命令查看进程的路径

     发现这个程序文件在/etc目录下面,是个二进制程序,我拷贝了下来,放到了本文附近位置,以供大家在虚拟机上面研究,哈哈。

4、结束异常进程并继续追踪

wKioL1a0Xt3Q4tCrAAAFpblEmnQ046.png

    干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会自己生成程序文件(果然不出我所料,在我没有搞清楚之前,后面确实又生成了)我们得继续追查。

5、查看登录记录及日志文件secure

    通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包?

wKioL1as_jORDywFAAFogdyG4v8317.png

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值