linux 服务器 病毒,Linux 服务器中木马病毒及清除过程
一、背景
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。
我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。
二、发现并追踪处理
1、查看流量图发现问题
查看的时候网页非常卡,有的时候甚至没有响应
2、top动态查看进程
我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。
4、结束异常进程并继续追踪
killall -9 nginx1
rm -f /etc/nginx1
干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会自己生成程序文件(果然不出我所料,在我没有搞清楚之前,后面确实又生成了)我们得继续追查。
5、查看登录记录及日志文件secure
通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包?
7、更多异常文件的发现
查看定时任务文件crontab并没有发现什么一次,然后查看系统启动文件rc.local,也没有什么异常,然后进入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。
三、木马手动清除
现在综合总结了大概步骤如下:
1、简单判断有无木马
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下命令到/root下
ps netstat ss lsof
3、删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
4、找出异常程序并杀死
5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)
我自己重新安装好像不行,我是找的正常的机器复制的命令。
#ps
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
#netstat
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
#lsof
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
#ss
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
linux 服务器 病毒,Linux 服务器中木马病毒及清除过程相关推荐
- 计算机感染木马或病毒后,计算机中木马病毒的症状
大家好,我是Time Fortune.com的明智客户服务.我将为您解答以上问题. 计算机中的木马病毒的症状是: 1.文件或文件夹无故消失 如果发山词霸和QQ管理器,这三种主流的国内安全保护软件都具有 ...
- 网站中木马病毒黑帽非法信息处理
网站中木马病毒黑帽非法信息处理 3.17突然收到邮件说我服务器有webshell,发现是有2个网站的缓存文件夹runtime里有后门,但是这个文件夹不能关闭写入权限一旦关闭网站都无法打开.于是只是清理 ...
- 计算机感染木马或病毒,电脑中木马病毒的症状
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答. 电脑中木马病毒的症状是: 1.文件或文件夹无故消失 当发现电脑中的部分文件或文件夹无缘无故消失,就可以确定电脑已经中了病毒.部分电 ...
- linux系统中病毒怎么解决,Linux 服务器中木马病毒及清除过程
一.背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包. 我们的服务器为了最好性能,防火墙(iptables)什么的都 ...
- 服务器中木马病毒处理(CPU占用率很高)处理办法
参考:https://blog.csdn.net/wkfyynh/article/details/105206990 记录一下这个过程,方便后来人使用.如果遇到权限问题,在所有执行命令前使用sudo ...
- 服务器中木马病毒问题解决
生产环境一台服务器中了木马病毒,阿里云提示有挖矿程序在运行 top查看cpu占用率达到100%,并且是一个未知程序,停掉后占用率回归正常 之后发现存在一些程序被木马病毒替换,包括ps,ss,netst ...
- html vbs病毒,win7系统中vbs病毒怎么解决?win7中vbs病毒的修复方法
电脑使用久了总是会出现各种各样的问题,其中比较常见的就是系统中病毒.这不一位用户说win7旗舰版系统中vbs病毒,有些用户还不清楚VBS病毒是什么?打开多个文件夹下看到".VBS" ...
- Linux 下使用杀毒软件clamav扫描木马病毒
软件安装: sudo apt-get install clamav 然后在控制台下运行:clamscan /home 会报错: LibClamAV Error: cli_loaddb(): No su ...
- 裸奔真的会中木马病毒 挖矿病毒 wup.exe 程序文件占用电脑资源
4日晚上,打开任务管理器的时候发现CPU使用一直在80%,是 wup.exe 占用的,同时还占用了2G内存,低优先级运行,用户名 SYSTEM,很不正常,于是开始排查. 发现这玩意是上午十点左右中的, ...
最新文章
- iOS项目的本地化处理(多国语言)
- 关于安装torch、torchvision包的问题
- 洛谷——P1583 魔法照片
- AopContext.currentProxy();为什么能获取到代理对象
- java 抽象类_什么是final?Java抽象类又是什么?抽象类能使用 final 修饰吗?
- html li去掉黑点_10分钟教你Python爬虫(上) HTML和爬虫基础
- Day08- team、iptables、firewall
- 第五章 常用页面元素自动化操作(上)
- 三分钟快速理解javascript内存管理
- 不想再被鄙视?那就看进来! 一文搞懂Python2字符编码
- HFSS19 官方中文教程系列 L03
- 基于vivoY97的Adb驱动程序的安装
- Java后台推送离线通知
- 桌面误删文件恢复用什么软件?
- 移动硬盘变成RAW怎么办?跟我这样恢复数据
- 通过完全由有理数构成的区间套来揭示无理数的存在
- Python查找文件夹中含有指定关键字的文件
- 无法从服务器中获取信息吗,无法从服务器获取信息
- VCC,VDD,VSS,VEE区别
- 分布式系统阅读笔记(五)-----远程调用