目 录:

一、问题现象:

二、问题排查:

1、netstat 排查:

2、top查看:

3、lsof -c 命令排查:

4、确定中木马了。

三、木马查杀:

木马1,清除:

木马2,清除:

四、后续处理:

1、iptables检查

2、cron检查

3、chkconfig检查

4、木马删除,持续观察确认

五、入侵原因及后续避免措施:

1、入侵原因:

2、后续避免措施:(监控为主)

一、问题现象:

服务器登录缓慢,远程连接老是卡顿。

二、问题排查:

1、netstat 排查:

如图:58.218.200.241 为未记录不可信任ip地址。

2、top查看:

发现异常进程“acs” 和 “ljyhbsxuew”(此进程为随机10位字母)

3、lsof -c 命令排查:

1) “acs”异常进程查看,如下图:

  • a) /root/acs为木马文件(该木马文件大小为1223123)
  • b) 58.218.200.241 为攻击源ip地址(本机地址被马赛克了)

2) “ljyhbsxuew”异常进程查看,如下图:(起初杀马为杀干净,“ljyhbsxuew”这个木马重新生成了另一个进程名“iblrrdokzk”)

  • a) /boot/iblrrdokzk 为木马文件(该木马文件大小为662840)
  • b) 58.218.200.241 为攻击源ip地址(本机地址被马赛克了)

4、确定中木马了。

根据以上的排查过程,基本可以确定服务器中了两个木马程序。

三、木马查杀:

木马1,清除:

1)查找木马文件及木马原文件:

(其中文件大小1223123为lsof -c获得)

命令被替换了。

2)清除木马文件

find / -size 1223123c  |xargs rm -f
rm -rf /usr/bin/bsd-port
rm -rf /usr/bin/dpkgd
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux

3)修复木马替换的命令文件:

#rz -ber 上传正常命令文件到root用户
cd /root
chmod 755 lsof ps ss netstat
cp /root/ps /bin
cp /root/netstat /bin
cp /root/lsof /usr/sbin
cp /root/ss /usr/sbin

4)杀掉木马进程:

ps -ef|grep '/root/acs' |grep -v grep |awk '{print $2}' |xargs kill -9 #或者 kill -9 2372(lsof中查看到的pid) 或者lsof |grep 1223123 |awk '{print $2}'|xargs kill -9

木马2,清除:

1)查找木马文件及木马原文件:

(其中文件大小662840为lsof -c获得)

2)清除木马文件

方法1:(此方法需排除查找出来的文件无正常文件,不要误删正常文件)find / -size 662840c |xargs rm -f

方法2:rm /lib/udev/udev -f
rm /boot/-f

3)杀掉木马进程:

ps -ef|grep "/boot/iblrrdokzk"|awk '{print $2}' |xargs kill -9或者lsof |grep 662840 |awk '{print $2}'|xargs kill -9

四、后续处理:

被入侵了,正常会被修改iptables配置和cron相关服务。

1、iptables检查:

若修改了,请恢复正确iptables。(之前的iptables应该是存在漏洞的,请确认自己的iptables配置是否正确)

我这边的iptables存在被修改现象,iptables已被重新配置。

2、cron检查:(cd /etc && ls -l |grep cron)

查找这些最新被更新的文件,会发下一些定时脚本。

虽然脚本中的/lib/udev/udev木马原文件被清除,这些脚本最好也清楚一下。

rm /etc/cron.hourly/cron.sh -f#crontab文件,vi修改删除异常部分

3、chkconfig检查:根据网上的经验,chkconfig中也会加有恶意的启动脚本,需要删除

chkconfig --del iblrrdokzk
rm /etc/init.d/iblrrdokzk-f

4、木马删除,持续观察确认。

top
netstat -putlan

五、入侵原因及后续避免措施:

1、入侵原因:

根据系统日志发现系统存在暴力破解,lastb中很多登录错误记录;

根据history,防火墙确实存在被关闭过的情况,具体谁关闭不知(多人拥有该设备登录方式)。

2、后续避免措施:(监控为主)

a)人为:人为安全意识提高。

b)监控:加入zabbix监控,自定义了一个监控项,告警触发(功能:可以通公网设备,iptables状态关闭,则立刻告警)

监控脚本,仅供参考:

[root@localhost ~]# more iptables.status.sh
#!/bin/bash
#zhengning
#20181217#check iptables statustimeout 2 ping -c1 114.114.114.114 >/dev/null;if [ $? -eq 0 ] ;then /sbin/service iptables status>/dev/null;if [ $? -eq 0 ] ;then#echo okecho 1else#echo warningecho 0fi
elseecho 1
fi

木马查杀参考:

https://cloud.tencent.com/developer/article/1114996

https://www.baidufe.com/item/e972015c88715fd8cd52.html

转载于:https://www.cnblogs.com/pzzning/p/10134825.html

木马入侵查杀 linux相关推荐

  1. Linux系统木马后门查杀方法详解

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  2. linux mysql木马_Linux系统木马后门查杀方法

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  3. linux服务器查杀,Linux服务器PHP后门查杀

    shell脚本一句话查找PHP一句话木马 # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval( ...

  4. mysql数据库木马查杀_Linux系统木马后门查杀方法详解

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  5. 奇虎360安全卫士推出木马程序查杀功能

    奇虎360安全卫士推出木马程序查杀功能[@more@]6月15日,奇虎公司对外宣布,旗下所属的国内最大安全辅助类软件360安全卫士推出木马程序查杀功能.据悉,这是国内首款免费.专业的木马查杀功能,是3 ...

  6. 网站木马后门查杀工具Linux系统专用

    后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊.搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了.适合Li ...

  7. clamav完整查杀linux病毒实战

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

  8. 浅谈Android手机木马手工查杀

    这篇文章主要是浅谈,所以会从简单方面开始讲起.关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然.因为手机和PC不一样,手机反木马技术没有PC端那么强.就算你把目前市面上的所有手机杀 ...

  9. clamav完整查杀linux病毒实战(转)

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

最新文章

  1. OpenJDK 编译-Linux环境
  2. FileReader采用的默认编码
  3. 2022-02-07
  4. Swift Objective-C 访问级别控制
  5. linux awk f,linux的awk详情(上)
  6. 主成分分析步骤_多元分析(1)--主成分分析
  7. 用于Power BI Desktop中的库存数据分析的烛台图
  8. 【转载】UltraWinGrid使用心得(C#)
  9. NFS-heartbeat-drbd模拟NFS高可用
  10. 问题二十二:C++中怎么添加log开关
  11. 【NLP应用之智能司法】最强之谷歌BERT模型在智能司法领域的实践浅谈
  12. win2008 401 - 未授权: 由于凭据无效,访问被拒绝。解决方法
  13. CE教程:植物大战僵尸(太阳数值修改)
  14. 墨卡托投影和高斯-克吕格 (Gauss-Krüger) 投影
  15. 分享可用的谷歌学术(google scholar) hosts
  16. 工程目录结构模板设计
  17. 笔记-使用AntDesignVue的Modal组件
  18. 诺贝尔获奖者中村修二:东亚教育问题的根源在哪?
  19. android NDK的mk文件编写【1】—— 简单示例
  20. 【电赛训练】非接触物体尺寸形态测量 2020年电赛G题

热门文章

  1. 从零点五开始用Unity做半个2D战棋小游戏(六)
  2. 贫穷中透着零基础的单人制作游戏手册之三:独立游戏怎么评估Steam市场
  3. 建立海盗的天堂:盗贼之海的AI(一)
  4. 三星10年旗舰彻底终结 5年前35次爆炸惊天下
  5. 虚拟存储体系由()两级存储器构成。
  6. Ajax的get与post的区别,什么时候使用post?
  7. java红包算法·返回ListDouble
  8. ORACLE 10G以后的ORDER BY操作优化
  9. RMAN备份及恢复归档日志的语法
  10. C语言实现随机生成0~100的数