浅谈找到***点后的处理(清理***)
没得说,被***后最直接的办法就是找到了入口点封堵后直接重装搞定。今天要说的机器却因为某些原因不能重装,只有干掉***,清理得干干净净。
一、使用chattr 配合 touch 空文件/echo 杜绝周期任务不曾是一种办法。
以/var/spool/cron/root为例子:/root/chattr -i /var/spool/cron/root;echo > /var/spool/cron/root;/root/chattr +i /var/spool/cron/rootps:chattr 命令最好从bin 移出来 因为别人同样可以使用chattr来释放权限
ps:这条语句不一定一次就成功,需要多次执行,因为别人的循环速度也是很快的
二、同样是用chattr 来解决掉 user/.ssh 的免密登陆(不做过多介绍这里使用移动目录也是可以的)
三、杜绝了免密登陆之后who -a (可以查看进程号 以及ip)配合netstat 的内容 使用iptable 封杀远程登陆的ip 以及kill掉已经登陆的非自身ip
四、其实之前的处理完毕后,基本上机器已经不会很卡,现在要处理的就是隐藏的小马(大马*** 小马隐藏嘛)
先贴张图
可以看见22 和9033的pid是看不到的显而易见有东西隐藏了进程,这里参照下边的链接
https://blog.csdn.net/nzjdsds/article/details/82919100
虽然看不懂不要紧,这里总结三大类:
1.ps netstat 等命令被替换导致的无法显示解决方案:直接stat 判断下命令更改事件,直接从未中***机器复制命令替换即可2.基于lib导致的无法现在解决方案:centos7 使用 strace ls /proc 2>&1 |grep open 与未中***机器对比加载的so内容即可判断(巧的是本次遇到的就属于这一类 废话不多说上图)
此图可以看到比正常情况多了2个so
/etc/ld.so.preload
/usr/local/lib/libevent_extra-9.5.so
这里我们来看看2个的目录情况
已知的文件都被隐藏了没关系,直接mv 走即可 这里先要做/usr/local/lib/ 后做/etc/ld.so.preload
然后清理掉/etc/ld.so.preload
恢复正常,最后清理下残余文件即可。注意(周期任务 用户登陆调用脚本 开机调用脚本 关机调用脚本 用户退出调用脚本 一定要清理干净)
3.基于内核模块导致的无法显示解决方案:lsmod 命令列表 与为中***机器对比即可,不过就算找出来了,若不能rmmod掉,需要重启机器且启动过程的脚本要全面排查,阻止mod的加载。(若是内核加载 常见的被安装了 kernel-devel 等包 因为需要根据机器编译,mod一旦生效 包含自身文件目录,都会被隐藏得干干净净)第1大类很好做,直接stat 判断下命令更改实
写得比较粗了清理持续了3天中途去研究了下netstat 的原理得如下脚本:
#!/bin/bash
echo -n > /tmp/inode.tmp
for((i=0;i<66666;i++));
do
if [[ -d /proc/$i ]];thenls -l /proc/$i/fd|grep "socket"|awk -F 'socket:' -v a=$i '{print "i_"$2"="a}'|sed 's;\[;;g'|sed 's;\];;g' >> /tmp/inode.tmp
fi
done
source /tmp/inode.tmp
while read line
do
echo -n $line
inode=`echo $line|awk '{print $10}'`
v="i_"$inode
echo -n " "
eval echo -n $`echo $v`
echo " "$v
done < /proc/net/tcp
这个是干嘛的呢,简单解释下,实际上netstat 的内容是取的/proc/net/tcp tcp6 udp udp6的内容,但-p命令实际上是扫描的/proc/进程id/fd 的socket 软连接对应的 inode (php命令的话用fileinode直接可以获取)再使用/proc/net内容的inode 对应得到的进程id , 这段内容参照netstat源码
转载于:https://blog.51cto.com/qidai/2408312
浅谈找到***点后的处理(清理***)相关推荐
- 对化石用计算机模拟修补,浅谈化石的修复和清理(下)
(三)立体骨架式大型脊椎动物立体骨架式大型脊椎动物此类化石最难清理,因为其体型较大,且往往取得时只是残缺的片断.再加上受地壳变动的关系,变形.部分毁损(缺手,缺脚,缺尾巴)也相当常见.在动手清理之前, ...
- 浅谈 找到最高海拔 问题
找到最高海拔 问题: 有一个自行车手打算进行一场公路骑行,这条路线总共由 n + 1 个不同海拔的点组成.自行车手从海拔为 0 的点 0 开始骑行. 给你一个长度为 n 的整数数组 gain ,其中 ...
- 浅谈专有云MQ存储空间的清理机制
简介:浅谈专有云MQ存储空间的清理机制 在近⼀年的项⽬保障过程中,对专有云MQ产品的存储⽔位清理模式⼀直存疑,总想一探究竟但又苦于工作繁忙.精力有限,直到最近⼀次项⽬保障过程中再次出现了类似的问题,⼤ ...
- 春招/秋招面试前必看一文。如何找到 BAT 的实习机会。找实习中的一些困惑,如何解决?。浅谈秋招。
春招/秋招面试前必看一文 春节过完,不管是大三/研二.还是大四/研三,就要投入到最激烈的春招当中去了,各大公司将会正式招聘,由元旦期间拉开序幕(1 - 2 月),到彻底的进入白热化阶段(3 - 4 月 ...
- Linux内核之浅谈内存寻址
Linux内核之浅谈内存寻址 前言 最近在看内存寻址的内容,略有所得,发此文与大家一起交流.我们知道计算机是由硬件和软件组成,硬件主要包括运算器.控制器.存储器.输入设备和输出设备,软件主要是操作系统 ...
- 浅谈Hybrid技术的设计与实现【转】
https://www.cnblogs.com/yexiaochai/p/4921635.html 前言 浅谈Hybrid技术的设计与实现 浅谈Hybrid技术的设计与实现第二弹 浅谈Hybrid技术 ...
- 浅谈Ddos攻击攻击与防御
EMail: jianxin#80sec.com Site: http://www.80sec.com Date: 2011-2-10 From: http://www.80sec.com/ [ 目录 ...
- 软件工程:浅谈人工智能软件开发与传统软件开发的区别
题目:浅谈人工智能软件开发与传统软件开发的区别 摘要:人工智能的飞速发展带动着软件工程的发展,最终使得软件工程产生新的变革.因为人工智能特有的性质,因而导致了人工智能软件与传统软件的差异性.本文对比了 ...
- 浅谈一下个人基于IRIS后端业务开发框架的理解
文章目录 浅谈一下个人基于IRIS后端业务开发框架的理解 现状 方案 具体实现 `Base` `Biz` `Data` `Filter` `Sql` `Imp`.`Ref` `Api` `Util` ...
- 由MAVEN入手浅谈项目构建与管理
Prologue . 前言 第一次写博客,希望爱学习的小伙伴们喜欢. JAVA软件开发领域很喜欢一个名词,叫做"约定大于配置 ".我在此当然约法三章. 写博客优先级很低.希望借此激 ...
最新文章
- ACM模板--邻接表 无向图 Prim Kruskal Dijkstra
- C语言基础-数据类型
- 安装python应该先安装pycharm还是python_Pycharm及python安装详细步骤及PyCharm配置整理(推荐)...
- 手机能打开的表白代码_数据分析移动化:打开手机就能做分析
- 如何查看服务器文件进程,如何查看服务器上的所有进程
- 2018级C语言大作业 - 祖玛
- JAVA上百实例源码网站
- 已解决谷歌浏览器打不开axure原型
- 给机器人罗宾写一封英语回信_小学英语人教(13版三起点)六年级上册Unit1
- 深度剖析供应链风险管理
- SAA7113视频解码芯片介绍
- waterfall 上拉加载 下拉刷新
- (筆記) 否定疑問句的回答 (Japanese)
- 一.wireshark界面学习
- 为什么element ui 中表单验证validate验证成功不执行验证成功的逻辑代码
- 嵌入式系统(二):ARM芯片及体系架构(上)
- C语言dialog函数用法,DialogBox用法
- 春节必备 | 免费领2022虎年春节头像,再送你专属自制头像神器,建议关注~
- 有什么免费好用的全球天气api?
- Win8 Metro(C#)数字图像处理--4图像颜色空间描述