Linux系统病毒木马排查清除方法

最新推荐文章于 2024-07-25 15:50:18 发布
最新推荐文章于 2024-07-25 15:50:18 发布
阅读量3.3k 收藏 5
点赞数 2
分类专栏: Linux、Windows服务器常用知识 文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeyiboy/article/details/124530613
版权 
Linux:
1.检查系统日志 
检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 
注:此时last命令也有可能变得不可靠,需要检查
--------------------- 

2.检查系统用户
查看是否有异常的系统用户 
[root@yeyiboy-IDC ~]# cat /etc/passwd

查看是否产生了新用户,UID和GID为0的用户 
[root@yeyiboy-IDC ~]# grep “0” /etc/passwd

查看passwd的修改时间,判断是否在不知的情况下添加用户 
[root@yeyiboy-IDC ~]# ls -l /etc/passwd

查看是否存在特权用户 
[root@yeyiboy ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd

查看是否存在空口令帐户 
[root@yeyiboy ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow
--------------------- 

3.检查异常进程
top  #仔细检查异常进程pid
ls -l /proc/pid/exe 查看异常进程命令所在地

4.简单判断有无木马
有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port 
ls /usr/bin/dpkgd
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
--------------------- 

删除如下目录及文件
rm -rf /usr/bin/dpkgd  (ps netstat lsof ss)
rm -rf /
了解本专栏 订阅专栏 解锁全文 超级会员免费看
miaobinfei
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 4994
linux挖矿病毒已解决
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 977
" -ls 和 find /usr/sbin/ -iname ".
【安全】linux系统木马排查过程
zerotoall的博客
04-24 453
【安全】linux系统木马排查过程 ├── rc1.d │ ├── K01jenkins -> ../init.d/jenkins │ ├── K50netconsole -> ../init.d/netconsole │ ├── K90network -> ../init.d/network │ ├── S97VsystemsshMdt -> /etc/init.d/VsystemsshMdt # 这个没有 │ └── S99selinux -> /etc/init.d/
服务器病毒木马通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 1865
服务器病毒木马通用排查处理应急响应流程
系统入侵排查(三) 五类病毒入侵排查
Hey_1_Kong的博客
09-04 1012
针对于蠕虫病毒、勒索病毒木马病毒、挖矿病毒、webshell木马排查思路和实际操作
2024年Linux最新Linux服务器木马(肉鸡)手工清除方法_dpkgd(1),我就不信你还听不明白了
m0_61943758的博客
05-03 744
修改下面两个程序的权限,这个是意外发现有的改了这两个程序的权限,让你发现了木马既不能下载正常程序也不能杀进程。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?
linux十字符木马,Linux系统随机10字符病毒清除
weixin_33242139的博客
05-12 143
故障表现:登陆服务器执行sar –n DEV,查得向外流量输出达到120Mbit/s多,cacti显示占满总出口流量故障判断:关闭所有对外应用服务,即tomcat、nginx、vsftp,但关闭之后发现流量依然非常高使用Ps –ef和netstat -ntplua检查可疑进程和端口,发现有进可疑进程netstat ps lsof等系统命令跑在/usr/bin/dpkgd目录里,而原系统命令已失效,...
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2810
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查
Linux木马病毒处理
小树苗
10-13 4410
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
php实现Linux服务器木马排查及加固功能
10-24
在网络安全日益重要的今天,PHP实现Linux服务器木马排查及加固功能显得至关重要。本文将详细讲解如何利用PHP进行木马排查以及采取哪些措施来加固服务器安全。 首先,针对特征码查找是木马排查的基础。PHP木马通常会...
linux top下的 minerd 木马清除方法
01-10
最近一段时 间,总是有人反映公司的一台测试服务器...于是,按照常规方法,首先ps -ef|grep minerd 看这个进程的详情,发现这个进程,执行的是/opt/minerd 的命令。于是,删除这个命令,并kill -9 杀掉相应的进程。
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
1、从监控文件入手,当监控整个c盘时基本上可以找出所有正在操作的文件,可以查看整个系统实时文件的变动记录,并对文件进行查询删改等操作,锁定文件后可以找出哪些进程在操控他,排查到实体程序。 2、从监控进程...
LINUX系统病毒查杀及木马病毒服务手动删除
08-19
LINUX系统病毒查杀及木马病毒服务手动删除 LINUX系统病毒查杀及木马病毒服务手动删除是 LINUX 系统管理员必备的技能之一。在这个知识点中,我们将学习如何手动删除系统中的病毒木马服务。 一、病毒查杀 在 ...
Linux初学基本命令
最新发布
yuan20010401的博客
07-25 376
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
linux上导出数据库
weixin_43652507的博客
07-24 329
linux上导出数据库 MySQL、PostgreSQL、SQLite、MongoDB
linux】Shell脚本三剑客之awk命令的详细用法攻略
景天科技苑
07-24 4467
Linux和Unix系统中,awk是一种强大的文本处理工具,广泛应用于数据提取、分析和报告生成。它基于模式匹配和条件执行,能够逐行读取输入文本文件,并对每行数据执行指定的操作。本教程将详细介绍`awk`在shell脚本中的用法,包括其基本语法、常用选项、内置变量、高级特性以及结合shell脚本的实际案例。
Linux中vim的基本介绍和使用
2301_79194984的博客
07-24 1261
如果我面想要在Linux上编写代码的话,我就需要vim来帮助我们编写代码。但是vim并不像是在Windows上的vs集成软件把所有的东西都集成起来但是呢,如果不进行配置的话,vim和其他是相互独立的,vim就是写代码的编辑器,编译代码就是gcc/g++的编译器,调试代码就有gdb的调试器。自动化构建就有make和makefile构建的工具。vim是款编辑器,同时也是多模式的编辑器—命令模式,底行模式,插入模式。简单编译一个hello vim程序。
木马病毒防治技术与系统实现探讨
此外,论文还关注了木马误杀问题,即在查杀过程中可能误判正常程序为木马的情况,以及通用的木马病毒防治方法。提出的查杀模块工具经过多家单位的实际测试,证明在面对新出现的木马病毒时,即使在传统杀毒软件病毒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

miaobinfei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值