linux后门查杀工具付费,查杀linux后门跑虚拟货币程序.md
## 缘由
某台服务器CPU异常, 4核心CPU使用 3个核心 使用top 查看看不到那个程序使用了CPU
### 分析
1. top 命令后输入小写c 看到一个命令在使用CPU 杀掉后马上又起来了, 怀疑已经安装了后门程序去除非木马运行
2. 删除了木马后又自动生成了新的木马, 怀疑部分命令已经被劫持故意隐藏木马和触发木马运行
3. 发现部分命令属性(lsattr /usr/bin/ps)都带**i**了
4. 使用vim 编辑命令文件可以发现里面有带木马字符串等
### 处理
1. 先找出$PATH下所有命令带i 属性的
2. 找一台系统版本一致的 比如 生产CentOS 6.7 本地环境6.5 左右都可以
3. 本地环境执行以下命令 常用命令处理
```
cd /
python -m SimpleHTTPServer # 开启一个简单的HTTP服务器, 生产能够访问随意映射一个端口
```
4. 生产服务器执行命令
```
mkdir -p ~/safe
cd ~/safe
#!/usr/bin/env bash
s=~/safe
host="http://112.5.6.8:8000" #修改成自己的服务器
for c in $(echo "/bin/chmod /bin/rm /usr/bin/wget /usr/bin/chattr /usr/bin/lsattr");do
echo $host$c 1>/dev/null 2>&1
#chmod 755 $(echo $c|awk -F"$(dirname $c)" '{print $2}'| sed -e 's/\///')
done
chmod 755 $s/*
for p in $(echo $PATH| sed -e 's/:/ /g');do
if [ ! -d $p ];then continue ;fi
cd $p
files=$($s/lsattr 2>/dev/null | $s/grep '\-i\-' | $s/awk '{print $2}'|$s/sed -e 's/\.\///g')
echo $files
for f in $(echo $files);do
error_404=$(curl $host$p/$f -I 2>/dev/null | $s/grep -Po "HTTP/1.\d 404")
if [ -z "$error_404" ];then
$s/chattr -i $p/$f
$s/rm -f $p/$f
$s/wget $host$p/$f
$s/chmod 755 $p/$f
else
$s/chattr -i $p/$f
$s/rm -f $p/$f
fi
done
done
```
4. 一般会隐藏成系统服务 修改回来即可
centos7: /etc/rc.d/init.d/network
centos6: /etc/init.d/network
```
find / -type f | grep -E -v "(sys/|proc/|dev/)" | xargs lsattr | grep "\-i\-" >/tmp/file
```
5. 碰到这样的情况最好重装系统, 更新内核, 服务普通用户运行
6. 病毒名为tplink /usr/sbin/tplink
劫持 ps netstat network top 等命令
/usr/lib64/... 目录
系统内所有带 i属性文件
清空 /usr/lib64/... 目录
```
cd /usr/lib64
chattr -i \.\.\.
mv \.\.\. fuck
cd fuck
find -type d | xargs chattr -i
find -type f | xargs chattr -i
rm -rf *
cd ../
rm -rf fuck
```
一键复制
编辑
Web IDE
原始数据
按行查看
历史
linux后门查杀工具付费,查杀linux后门跑虚拟货币程序.md相关推荐
- McAfee, Inc. 发布的病毒专杀工具,能杀的病毒在其readme文档中
McAfee, Inc. 发布的病毒专杀工具,能杀的病毒在其readme文档中,这是我翻老资料,翻出来的. https://www.mcafee.com/enterprise/en-us/downlo ...
- linux 查壳工具,die查壳工具 使用教程
die查壳工具 使用教程 die查壳工具 使用教程 这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器>>>https://github.com/horsicq ...
- linux删除win分区工具,Win 10 和 Linux 双系统,从硬盘删除Linux分区,Win 10引导修复...
由于安装双系统后,Linux 用的比较少.因此,从Win 10 磁盘管理中删除了linux 占用的磁盘空间,重启后无法进入win 10 ,出现如下情况: 有人提出,此时需要重装系统,并不用如此麻烦,通 ...
- linux使用寿命上传工具,PowerTOP:在 Linux 上监视电量使用和改善笔记本电池寿命【马哥教育新闻快报452期】...
各位小伙伴上午好,今天是2019年7月16日,这里是马哥教育新闻快报第452期. 本期重点关注: PowerTOP:在 Linux 上监视电量使用和改善笔记本电池寿命 [快报内容] 1.PowerTO ...
- linux高级包管理工具,5 个给 Linux 新手的最佳包管理器
原标题:5 个给 Linux 新手的最佳包管理器 一个 Linux 新用户应该知道他或她的进步源自于对 Linux 发行版的使用,而 Linux 发行版有好几种,并以不同的方式管理软件包. 在 Lin ...
- 应急响应--linux常用查杀工具:Rootkit查杀
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件.进程和网络链接等信息,比较多见到的是Rootkit一般都和木马.后门等其他恶意程序结合使用.Rootkit一词更多地是指 ...
- 离线调用linux命令,GitHub - rinetd/linux-command: Linux命令大全搜索工具,内容包含Linux命令手册、详解、学习、搜集。...
Linux Command 516 个 Linux 命令大全,内容包含 Linux 命令手册.详解.学习,值得收藏的 Linux 命令速查手册.请原谅我写了个爬虫,爬了他们家的数据linuxde.ne ...
- 实验楼linux命令,GitHub - encorechow/linux-command: Linux命令大全搜索工具,内容包含Linux命令手册、详解、学习、搜集。...
Linux Command 516 个 Linux 命令大全,内容包含 Linux 命令手册.详解.学习,值得收藏的 Linux 命令速查手册.请原谅我写了个爬虫,爬了他们家的数据linuxde.ne ...
- spark常用的linux命令,GitHub - Sparkinzy/linux-command: Linux命令大全搜索工具,内容包含Linux命令手册、详解、学习、搜集。...
Linux Command 516 个 Linux 命令大全,内容包含 Linux 命令手册.详解.学习,值得收藏的 Linux 命令速查手册.请原谅我写了个爬虫,爬了他们家的数据linuxde.ne ...
最新文章
- windows c语言判断是不是nan,C++ 判断浮点数是否为Nan值
- 神策数据林美天于大数据与人工智能分享沙龙分享
- 数组中的第k个最大元素—leetcode215
- java数组螺旋矩阵从上到下_Java-基础编程(螺旋矩阵乘法表)
- ubuntn开发php教程,Ubuntu16.04的PHP开发环境配置
- Bailian3180 整数减法【大数】
- echarts 系列一
- junit学习笔记(二):hamcrest和TestSuit
- linux命令怎么显示文件某一行或几行内容
- torch 默认参数初始化_Detection学习之九-torch中如何定义优化器及调整学习率
- 受力分析软件_管桁架结构的受力特点是什么?如何计算?
- 计算机二级excel经典操作题,计算机二级office经典题库
- 【C语言经典100例】-- 11 不死神兔问题
- Java 导出CSV文件及实现web下载CSV
- 具名元组namedtuple
- 违停现场执法的人性化解决之道
- Python 获取优惠券淘宝口令
- addEventlistener()方法,事件监听
- 论文笔记Long_Term_Feature_Bank
- Android”挂逼”修炼之行—微信摇骰子和猜拳作弊器原理解析