查看网络防火墙,我们的一个网段IP不停的向外发包,应该是被攻击成了别人的肉鸡了。

首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面

我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。

这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。

可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息,这个我们也给删掉

到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。

后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如"chattr -i /tmp",然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。

举报/反馈

安卓linux病毒,如何清除linux病毒相关推荐

  1. linux审计日志清除,Linux登录安全及用户操作审计 ,linux下清理日志脚本

    一.合理使用Shell历史命令记录功能 Linux下可通过history命令查看用户所有历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,有时候***会删 ...

  2. linux 禁用日志,清除linux系统日志,禁用linux系统日志,删除linux日志

    /var/log/这下面的东东,就是各日志记录文件,但这些文件日志存储是由/etc/syslog.conf 配置的,可以修改存储地,不记录任何日志可以用vi syslog.conf打开,用dd清空每行 ...

  3. Linux流行病毒家族清除方法集锦

    自2020年开始,深信服安全团队监测到Linux恶意软件挖矿事件大量增多,且有持续上升的趋势. 与Windows下五花八门的勒索病毒家族不同,Linux下感染量较大的恶意软件就几个家族.但这几个家族占 ...

  4. linux 病毒类型,linux系统常见的一些病毒类型和防范

    Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同. 为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类 ...

  5. Linux安全体系的ClamAV病毒扫描程序[转]

    > 摘自:http://www.shangshuwu.cn/index.php/Linux安全体系的ClamAV病毒扫描程序 ClamAV是使用广泛且基于GPL License的开放源代码的典型 ...

  6. linux无法运行病毒,{转}为什么linux系统不容易中病毒?

    该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 为什么linux系统不容易中病毒 可能不少人持这样一种观点,认为 Linux 病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批 ...

  7. linux服务器被植入挖矿病毒后初步解决方案

    linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启. 只能上网搜索,初步解决方案如下: 一.定位攻击服务器的ip 首先root,然后进~/.cache,使用netstat ...

  8. web安全从基础术语、windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新)

    web安全知识从基础术语.windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新) 专业术语 web环境搭建 windows基础 linux基础 linux系统命令 linux命令 ...

  9. android有病毒怎么清除,安卓手机幽灵推病毒怎么彻底清除?手机幽灵推病毒彻底清除方法...

    央视曝光安卓手机病毒"幽灵推"之后,引起了用户极大的恐慌.小伙伴们也不用太担心,下载时选择正规网站防患于未然,那有人就要问,不小心中毒了之后该怎么办呢?下面就让百事网小编给大家讲解 ...

最新文章

  1. R语言创建频数表和列联表
  2. 马化腾公开信:AI将成为基础设施,腾讯要打造“数字生态共同体”
  3. Android之ViewPager讲解
  4. “十四五”要建设的「交通强国」,会让我们都坐上自动驾驶车么?
  5. opencv中vc14和vc15的区别?
  6. centos7查看当前系统时间、_CentOS7.4.1708查看系统相关信息及系统的初步优化
  7. Tomcat源码调试环境搭建
  8. springboot怎么返回404_SpringBoot(二十)_404返回统一异常处理结果
  9. tuxedo连接mysql_9.5.3 Tuxedo与各种数据库的连接
  10. php基础教程(二):基础语法
  11. oracle不停机迁移数据库,Oracle 12.2 使用datagurd技术极短停机时间内快速迁移数据库方案步骤...
  12. 知乎500w关注:转行数据分析的真实案例!
  13. 【build your own xxx】实现你自己的bind函数
  14. SQL:一条SQL的查询结果作为另一条SQL的查询条件
  15. C语言视频教程(初学C语言,还是看视频更直观)
  16. ELI'S CURIOUS MIND
  17. 微型计算机外文文献,单片机外文文献翻译---微型计算机控制系统
  18. 按步搭建简单IoT微服务(2)
  19. android显卡效果吗,安卓模拟器显卡渲染模式中DirectX和OpenGL两个有什么区别?
  20. UML建模与软件开发设计(六)——类图设计与类之间的关系

热门文章

  1. 【Win10瘦身技巧】禁用Windows索引功能
  2. Google Play开发者账号被封、下架、提审被拒原因分析
  3. 全球十大正规黄金期货交易APP平台排名(2023版榜单)
  4. 百趣代谢组学资讯:4篇经典案例助力科研不费力,均IF>12
  5. 【历史上的今天】8 月 3 日:微软研究院的创始人诞生;陌陌正式上线;苹果发布 Newton OS
  6. 有什么值得一看再看的书吗?
  7. 训练小米叫,让狗狗叫还真的不容易!
  8. 机器学习股票预测_是否进行基础投资工作,以尝试通过机器学习预测股票成功...
  9. matlab在图片上画标记然后整幅保存的方法
  10. 创建table报错 [Err] 1067 - Invalid default value for ‘XXX‘