putty和WinSCP后门检查及清理方式
检查及清理方式
- 检查 /var/log 是否被删除 # /usr/bin/stat /var/log
如果被删除了,说明中招了 - 查看 /var/log 文件夹内容 # ls -al /var/log
如果文件很少,说明中招了 - 监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆 - 检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
如果你分不清,请回本贴 - 检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
如果你分不清,请回本贴 - 检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep ':82'
如果有,而你又没设置过,说明已经中招了 - 检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep '98\.' --color
如果有,说明已经中招了 - 检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了
恢复系统日志
- 查看系统日志文件夹 # ls -al /var/log
- 创建系统日志文件夹 # /bin/mkdir /var/log
如果被删除的话需要创建 - 查看系统日志服务 # /usr/bin/find /etc/init.d/ -name '*log*'
需要区分出你的服务器所使用的日志服务 - 关闭系统日志服务 # /sbin/service syslog stop
你的服务器的日志服务的名称可能是另外一个名字 - 启动系统日志服务 # /sbin/service syslog start
你的服务器的日志服务的名称可能是另外一个名字 - 创建错误登录日志文件 # /bin/touch /var/log/btmp
- 设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp
- 设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp
- 创建登录日志文件 # /bin/touch /var/log/wtmp
- 设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp
- 设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp
恢复SELinux(安全增强Linux)设置
- 查看 SELinux 状态 # /usr/sbin/sestatus -v
- 检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log
- 恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log
- 检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
- 恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
- 检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null
putty和WinSCP后门检查及清理方式相关推荐
- 梨花众创-计算机检查与清理系统 使用简介
梨花众创计算机检查与清理系统,综合地采用数据挖掘.分析与处理等先进技术和方法,对计算机的操作行为.隐藏事件.主机设置.关键字等信息进行有效而深入的检查,可发现计算机使用过程中存在的违规现象和风险隐患, ...
- Putty,PuttyCM,WinSCP组合拳
完整板式地址: http://www.trydofor.com/a9w3-auhome/trydofor/article/2009/1117090745/body.htm Putty,PuttyCM, ...
- putty 与winscp 区别
https://zhidao.baidu.com/question/377968180.html
- 【解决方案】Windows下C盘空间越来越小,空间清理方式
简述 相信很多用Windows的人都会遇到C盘内容逐渐变大,导致整个空间的系统剩余空间越来越小.但是清理方式却相当简单 解决方案 去到路径下: C:\Users\自己的用户名\AppData\Loca ...
- 通过putty和 winscp操作aws机器笔记
最近在生产aws环境部署了支持http3的nginx集群(nginx+consul+upsync).整个部署过程使用putty操作虚拟机,通过winscp上传下载文件. 写了一些操作笔记以及记录了我自 ...
- linux 类似winscp_mac如何连接远程linux,类似windows上的putty和winscp
windows上有putty可以通过ssh协议连接远程linux系统. mac上也可以用终端连接,转自:http://www.unixnewbie.org/putty-equivalent-for-m ...
- windows一段时间后发现C盘满了如何检查并清理
作者:RayChiu_Labloy 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 windows一段时间后发现c盘满了: 因为扩展固态硬盘和重装系统重置系统比较麻烦,那 ...
- Docker容器日志清理方式
文章目录 1. 为什么要清理? 2. 日志说明 3. 日志查看方式 3.1 docker log 3.2 docker-compose logs 4. 清理 5. 防患于未然 1. 为什么要清理? 在 ...
- Putty和WinSCP如何保持连接不断开
1 Putty保持连接设置 2 WinSCP保持连接设置 选项(O) -> 选项(P) 面板 -> 远程 -> 刷新远程面板间隔
最新文章
- oracle分组排序
- python编程口诀_科学网—Python编程技巧汇总 - 高关胤的博文
- 如何写年终总结(转)
- Leetcode--141. 环形链表
- 单进程程序怎样在linux运行,linux下C程序:运行单个实例
- 读懂 SOLID 的「里氏替换」原则
- DEDECMS系统后台添加菜单列表
- 同余定理在算法求解中的应用
- [转载] python机器学习第三章:使用scikit-learn实现机器学习分类算法
- 算法设计分析(44页)
- 给你看一下真实的后浪...
- Object C中创建线程的方法有NSThread,GCD, NSOperation
- 问题解决办法:pip tensorrt成功,PyCharm import出错
- coherence mysql_Coherence Step by Step 第三篇 缓存(四) 缓存数据源(翻译)
- 华硕启动vmware 虚拟机,显示Intel VT-x但Intel VT-x处于禁用状态 ,开始vt
- springboot为什么返回Whitelabel Error Page
- 高德地图去掉定位按钮_高德地图自定义定位按钮及点击事件
- 计算机辅助教育相关论文,教学计算机辅助论文,关于计算机辅助教学在现代教育改革中的作用相关参考文献资料-免费论文范文...
- html点击圆点箭头分页,点击自动轮播图片下面的小圆点实现图片切换功能,并不是左右箭头那种切换...
- 阿里云服务器为什么总是那么不稳定经常崩溃掉线?