linux 服务器中木马及清除木马
一、背景
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做
肉鸡了,在大量发包。
我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做
的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把
发现过程记录一下。
二、发现并追踪处理
1、查看流量图发现问题
查看的时候网页非常卡,有的时候甚至没有响应
2、top动态查看进程
我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源
比较高,名字不仔细看还真以为是一个Web服务进程。
3、ps命令查看进程的路径
发现这个程序文件在/etc目录下面,是个二进制文件。
4、结束异常进程并继续追踪
|
1
2
|
killall -9 nginx1
rm -f /etc/nginx1
|
干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想
想也肯定没那么简单的,这个是木马啊,肯定还会自己生成程序文件(果然不出我所料,在我没有搞清楚之前,后面确
实又生成了)我们得继续追查。
5、查看登录记录及日志文件secure
通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候
发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包?
6、再次ps查看进程
其实第一次ps的时候就有这个问题,那时候没有发现,第二次是仔细查看每个进程,仔细寻找不太正常的进程,发现了一个奇怪的ps进程。
找了台正常的机器,查看了一下ps命令的大小,正常的大约是81KB,然后这台机器上面的ps却高达1.2M,命令文件肯定是被替换了。
7、更多异常文件的发现
查看定时任务文件crontab并没有发现什么一次,然后查看系统启动文件rc.local,也没有什么异常,然后进
入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。
第一个文件可以看出他就是开机启动那个异常文件,第二个应该和登录有关。
既然和登录有关,那就找和ssh相关的,找到了下面的一个文件,是隐藏文件,这个也是木马文件,我们先记录下俩,这样程序名字都和我们的服务名字很相近,就是为了迷惑我们,他们的大小都是1.2M,他们有可能是一个文件。
我又看了一下木马喜欢出现的目录/tmp,也发现了异常文件,从名字上感觉好像是监控木马程序的。
三、木马手动清除
现在综合总结了大概步骤如下:
1、简单判断有无木马
|
1
2
3
4
5
6
7
8
9
10
|
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
|
2、上传如下命令到/root下
|
1
|
ps netstat ss lsof
|
3、删除如下目录及文件
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
|
4、找出异常程序并杀死
5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)
我自己重新安装好像不行,我是找的正常的机器复制的命令。
|
1
2
3
4
5
6
7
8
9
10
11
12
|
#ps
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
#netstat
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
#lsof
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
#ss
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
|
本文出自 “zpp” 博客,请务必保留此出处http://1439337369.blog.51cto.com/10270624/1931437
本文转自MQ_douer 51CTO博客,原文链接:http://blog.51cto.com/douer/1932451,如需转载请自行联系原作者
linux 服务器中木马及清除木马相关推荐
- linux服务器中***,手工清除方法
由于自己也碰到过这种情况,刚好看到这篇文章,先转载过来.的确蛮有用的哦. 首先剧透一下后门***如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) ***名称 Linux. ...
- linux服务器中病毒后的清除处理
linux服务器中病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现中了挖矿病毒,很是恼火.因为我平时很少接触服务器,一般都是部署项目,配置域名就完事.所以遇到这种情况,只能在一旁看着干着急. ...
- linux服务器清除cdn,Linux服务器中查找并删除大文件的五种方法,Linux系统清除文件内容的命令分享...
很多时候,在处理Linux终端中的文件时,您可能希望清除文件的内容,而无需使用任何Linux命令行编辑器打开它.怎么能实现这一目标?在本文中,我们将借助一些有用的命令,通过几种不同的方式清空文件内容. ...
- 如何访问Linux服务器中RabbitMQ管理页面
大家好,本篇文章主要讲的是解决访问不到Linux服务器中RabbitMQ管理页面问题,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下,方便下次浏览 由于自己项目的某项功能需要服务器中发送消息到 ...
- drupal linux安装,在Debian 10(Buster) Linux服务器中安装drupal 8.8.0的说明
按照本说明,你就可以成功的在Debian 10(Buster) Linux服务器中安装好drupal 8.8.0版本,已亲测能稳定运行. 先决条件 在开始安装之前,对安装的最低要求是: 数据库服务器, ...
- Linux服务器中解压zip包
Linux服务器中解压zip包 Linux下解压zip文件,就一个命令行. Unzip [文件名] 示例: unzip {you file name} 我现在要解压datamaster.zip这个文件 ...
- Linux服务器中的wget、curl和scp
Linux服务器从互联网中下载文件共三种方式:推荐使用第一种 第一种方式:使用wget命令 wget http://www.download.com/1.txt wget命令配合-O选项给下载的文件重 ...
- linux服务器中开启新的ip端口
在linux服务器中,一般部署web项目,需要使用ip,一般默认Ip会被其他项目使用,而我们在部署新项目时,需要开通新的ip.开启方案如下: 一.先开启防火墙 systemctl start fire ...
- Redis导致Linux服务器中病毒、成肉鸡了。
前段时间,我们Linux服务器中病毒了,变成别人的肉鸡,不停的在攻击其他服务器. 根据我的调查发现,这台服务器不停的在攻击同网段的其他服务器. 根据判断,得出应该有个进程或者JOB在执行,后来发现是l ...
- 如何在远程的linux服务器中搭建禅道及bugfree
如何在远程的linux服务器中搭建禅道及bugfree 一.介绍远程连接工具 1.首先连接远程的linux服务器,就需要使用连接工具及通过FTP上传工具. 远程连接的工具:putty和xshell 区 ...
最新文章
- 浅谈强化学习的方法及学习路线
- 【算法学习笔记】08.数据结构基础 二叉树初步练习1
- 万字归纳总结 | 数据库表设计与SQL编写技巧
- PCB生成光绘文件教程 (Z)
- 数据结构——堆栈的C语言实现
- deepnode处理过的图片_教你用PS快速修复图片脏乱和瑕疵,快来一起学习吧!
- java程序a-z b-y,请完成下列Java程序:对大写的26个英文字母加密,从键盘输入一个大写字母串,输出这个串加密后的结 - 赏学吧...
- android服务器连接失败,Android Studio服务器连接失败
- c语言结构体tdl,计算机等级二级C笔试考前练习习题(21)
- [vscode] convert tabs to spaces
- python实现自动打电话软件_用Python实现的Internet电话软件(P2P-SIP)开源
- mouseover mouseout和mouseenter mouseleave的区别
- 刀塔自走棋无限寻找服务器怎么办,刀塔自走棋无法连接服务器怎么办_刀塔自走棋无法连接服务器解决办法_玩游戏网...
- Python检验多重共线性
- 计算机网络学习记录——模块一 网络互联基础
- 每日一题系列:考拉有n个字符串,任意两个字符串长度都是不同的。考拉最近学习到两种字符串的排序方法
- Eclipse创建子包时显示与父包是并列关系的解决方法
- Debian Cacti(仙人掌)
- HDU 2389 Rain on your Parade(二分匹配+Hopcroft-Carp算法模板题)
- easyExcel自定义背景颜色easyPoi自定义修改表头背景色