【安全】linux系统中木马的排查过程

于 2024-04-24 11:59:30 发布
阅读量297 收藏 4
点赞数 5
分类专栏: 运维日常 网络 linux 文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerotoall/article/details/138154664
版权
linux 同时被 3 个专栏收录
25 篇文章 1 订阅
订阅专栏
网络
16 篇文章 2 订阅
订阅专栏
运维日常
15 篇文章 2 订阅
订阅专栏

 本站以分享各种运维经验和运维所需要的技能为主

《python零基础入门》:python零基础入门学习

《python运维脚本》: python运维脚本实践

《shell》:shell学习

《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战

《k8》暂未更新

《docker学习》暂未更新

《ceph学习》ceph日常问题解决分享

《日志收集》ELK+各种中间件

《运维日常》运维日常

《linux》运维面试100问

 【安全】linux系统中木马的排查过程

1.背景

公司发现有云机器恶意请求域名

2.排查过程

寻找中招机器

-首先使用网络工具排查这个域名的访问过程,是从哪里发出的

tcpdump | grep shenhaozhe.com

找到目标机器之后进行排查

排查中招机器

-排查自启目录

 tree /etc/rc*

可以看到几个以往没有的文件:

├── rc1.d

│   ├── K01jenkins -> ../init.d/jenkins

│   ├── K50netconsole -> ../init.d/netconsole

│   ├── K90network -> ../init.d/network

│   ├── S97VsystemsshMdt -> /etc/init.d/VsystemsshMdt # 这个没有

│   └── S99selinux -> /etc/init.d/selinux #这个没有

S97VsystemsshMdt、/etc/init.d/VsystemsshMdt、S99selinux -> /etc/init.d/selinux

发现这么多文件之后不放心,可能还有很多文件感染的可能

-使用clamscan对linux系统盘全盘扫描

yum -y install install clamav*

sudo freshclam

clamscan -ri / -l o

大概扫出了以下文件:

/root/ps: Legacy.Trojan.Agent-1388639 FOUND
/root/netstat: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/lsof: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/pythno: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/bsd-port/knerl: Legacy.Trojan.Agent-1388639 FOUND
/bin/ps: Legacy.Trojan.Agent-1388639 FOUND
/bin/netstat: Legacy.Trojan.Agent-1388639 FOUND

可以把bsd-port整个目录删除了。

从这里可以发现很多系统命令都被恶意窜改,需要从其他同版本系统上cp过去恢复。

总结

将上述的文件都清除之后,恶意请求就停止了,这里可以看出网络安全还是要重视。

开发不要轻易拉取一些非官方的库,可能会把木马也拉取到机器了。

向往风的男子
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php实现Linux服务器木马排查及加固功能
10-24
主要介绍了php实现Linux服务器木马排查及加固功能,本文给出了根据特征码查找、搜索最近被修改的文件、修改php.ini、修改nginx.conf等方法,需要的朋友可以参考下
ElasticSearch集群内存占用高?如何降低内存占用看这篇文章就够啦!(冻结索引)
小赵的博客
11-16 2653
经常搜索的索引被保留在内存,因为重建索引和帮助高效搜索需要花费时间。另一方面,可能存在我们很少访问的索引。这些。这样的索引称为。每当搜索分片时,Elasticsearch都会构建冻结索引的每个分片的即时数据结构,并在搜索完成后立即丢弃这些数据结构。因为Elasticsearch不会在内存维护这些临时数据结构,所以冻结索引消耗的堆要比普通索引少得多。与其他方式相比,这允许更高的磁盘与堆的比率。
ES性能优化之内存优化
gg1314723的博客
03-25 2597
文章目录前言一、ES性能优化之内存优化一、调整节点内存大小二、禁用Swapping三、垃圾回收器调整(参考)3.1打开垃圾回收日志3.2使用jstat 检查垃圾回收器工作状态3.3垃圾回收器调优总结 前言 ES虽然具有较高的性能,同样也比较吃资源,通常调整节点内存大小,基本能解决ES常见的性能问题 提示:以下是本篇文章正文内容 一、ES性能优化之内存优化 一、调整节点内存大小 修改ES节点实例GC参数(Xms)和最大(Xmx)内存大小,并且保持值一致,重启Elasticsearch服务。 单个EsNod
(一:原理4)ElasticSearch内存分配以及优化
weixin_43930865的博客
12-24 7461
ElasticSearch内存分配以及优化 1:服务器内存分配 内存消耗大户: 1:Elasticsearch 2:Lucene(全文搜索) 2:内存解释 2.1:Elasticsearch Elasticsearch默认安装后设置的堆内存是1GB,实际业务肯定不够,需要进行配置,不要超过32G 因为如果堆大小小于 32 GB,JVM 可以利用指针压缩,这可以大大降低内存的使用:每个指针 4 字...
Elasticsearch 的内存优化
dying 搁浅
12-17 2748
找到一篇之前自己总结的 es 内存优化的观察记录,发出来分享保存一下,希望可以对大家有所帮助和启发
【ceph】如何打印一个osd的op流程,排查osd在干什么
最新发布
zerotoall的博客
11-24 284
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
Linux服务器安全分析与清除木马渗透
11-20
Linux服务器安全分析与清除木马渗透,安全很重要,学习人家的方法
Linux系统虚拟机可能会削弱安全
03-03
然后攻击者会在这些虚拟 机安装各种恶意程序,比如键盘记录程序,特洛伊木马,以便窃取主操作系统的信息。但是这种攻击,需要攻击者修改系统的原始内核,因为原始内核和虚拟化软件本身,在设计之初就禁止了不同...
Linux查找php木马程序例子
01-20
只是我们给了权限太高导致这个程序可以执行系统文件或调用系统命令来操作从而得到了服务器相关权限了,这样对方可以随时拿我们程序或数据库了,下面我来给各位介绍一些查找php木马的方法与基本的安全配置教程吧。...
es 在数据量很大的情况下(数十亿级别)如何提高查询效率啊?
weixin_33869377的博客
03-25 751
2019独角兽企业重金招聘Python工程师标准>>> ...
ES 性能调优,这可能是全网最详细的 Elasticsearch 性能调优指南
热门推荐
Elastic开源社区
04-11 2万+
Elasticsearch 读写性能调优 ES 架构和Mapping优化
ES堆占用高问题分析与解决方案
Angus
09-25 7234
千亿级检索,ES JVM参数调优,解决OOM问题。
ES内存调优设置
wang的博客
01-16 2438
1、ES2.4版本:无论哪个版本,ES内存设置都要达到服务器内存的一半,假设服务器内存为16G,方法如下 6.3.2版本:原理与2.4版本相同,只是配置文件名称不一样。假设服务器内存为30G 3.修改完后重新启动ES服务即可。 ...
Elasticsearch (优化)内存设置
weixin_45417821的博客
06-04 1961
内存设置 ES 默认安装后设置的内存是 1GB,对于任何一个现实业务来说,这个设置都太小了。 如果是通过解压安装的 ES,则在 ES 安装文件包含一个 jvm.option 文件,添加如下命令来设置 ES 的堆大小,Xms 表示堆的初始大小,Xmx 表示可分配的最大内存,都是 1GB。 确保 Xmx 和 Xms 的大小是相同的,其目的是为了能够在 Java 垃圾回收机制清理完堆区后不需要重新分隔计算堆区的大小而浪费资源,可以减轻伸缩堆大小带来的压力。 假设你有一个 64G 内存的机器,按照正常思维思考,你
elasticsearch性能优化个人小结
u013982921的专栏
08-19 4454
公司数据存储用的最多的就是ES了,大概每天会产生1T的数据,这个数据量还是挺大的,公司用的ES集群有12个节点,后期可能还要扩展,于是便看些博客再结合自己工作,总结了一些ES的调优 第一部分:调优索引速度 1、使用批量请求批量请求将产生比单文档索引请求好得多的性能。 为了知道批量请求的最佳大小,您应该在具有单个分片的单个节点上运行基准测试。 首先尝试索引100个文件,然后是200,然后是...
es性能优化
GodXuzzZ的博客
12-04 1161
目录 es性能优化 写入性能优化 增加refresh的时间间隔 默认1s就会触发一次Refresh,然后Refresh会把内存的数据刷新到操作系统的文件缓存系统(buffer ——> OS cache)。每次索引的refresh会产生一个新的segment段,这会导致频繁的segment merge行为。一般在查询实时性要求不高的场景下可改为30s,甚至是“-1”(关闭refresh)。入库完之后修改回默认值是1s即可,形如: refresh参数设置 Curl -XPUT "localhost:9
ES内存优化
www.hohode.com
03-20 948
参考http://elasticsearch.cn/article/32 _optimize 优化前GET _cat/indices/product95_new_users?v\&h=index,docs.count,docs.deleted,store.size,tm product95_new_users 203037 24838 326.6mb 1.5mb 优化方法POST product
ElasticSearch 性能优化实战,让你的 ES 飞起来!
石杉的架构笔记
08-10 3685
公众号后台回复“学习”,获取作者独家秘制精品资料扫描下方海报二维码,试听课程:(课程详细大纲,请参见文末)来源:http://wangnan.tech/post/elas...
linux系统木马文件后缀
08-01
Linux系统木马文件可以使用各种后缀来隐藏其真实性质。以下是一些常见的木马文件后缀: 1. .exe:这是Windows系统上常见的可执行文件后缀,但是也可以在Linux系统伪装成.exe后缀的文件。 2. .sh:这是Shell脚本文件后缀,用于在Linux系统上执行一系列命令。黑客可以将木马代码放入.sh文件,并通过执行该脚本来运行木马程序。 3. .py:这是Python脚本文件后缀,类似于.sh文件,黑客可以将木马代码放入.py文件,并通过执行该脚本来启动木马程序。 4. .so:这是Linux系统上的共享库文件后缀。黑客可以将木马代码编译成共享库,并将其后缀修改为.so,然后通过加载该库来运行木马程序。 5. .dll:这是Windows系统上的动态链接库文件后缀,但是也可以在Linux系统找到.dll后缀的文件。黑客可以将木马代码编译成.dll文件,并将其放在Linux系统。 6. .jar:这是Java的存档文件后缀。黑客可以将木马代码放在.jar文件,并通过Java虚拟机来执行该文件。 请注意,以上列举的后缀只是一部分常见的木马文件后缀,黑客可以使用各种方法和技术来伪装木马文件,并使用不同的后缀来混淆系统或逃避防御机制。因此,使用杀毒软件和定期更新系统补丁是保护自己免受木马文件攻击的重要措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值