一次Linux伺服器被入侵和刪除木馬程式的經歷
轉帖地址:http://wzlinux.blog.51cto.com/8021085/1740113
原創作品,允許轉載,轉載時請務必以超連結形式標明文章 原始出處 、作者資訊和本宣告。否則將追究法律責任。http://wzlinux.blog.51cto.com/8021085/1740113
1
2
|
killall -9 nginx1
rm -f /etc/nginx1
|
1
2
3
4
5
6
7
8
9
10
|
#有無下列檔案
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#檢視大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
|
1
|
ps netstat ss lsof
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木馬程式
rm -f /usr/bin/.sshd #木馬後門
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程式)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(預設是啟動/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
|
1
2
3
4
5
6
7
8
9
10
11
12
|
#ps
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
#netstat
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
#lsof
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
#ss
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
|
1
|
yum -y install clamav clamav-milter
|
1
|
service clamd restart
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
[root@mobile ~]# freshclam
ClamAV update process started at Sun Jan 31 03:15:52 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): WARNING: main.cvd not found on remote server
WARNING: Can't read main.cvd header from db.cn.clamav.net (IP: 185.100.64.62)
Trying again in 5 secs...
ClamAV update process started at Sun Jan 31 03:16:25 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): Trying host db.cn.clamav.net (200.236.31.1)...
OK
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Reading CVD header (daily.cvd): OK (IMS)
daily.cvd is up to date (version: 21325, sigs: 1824133, f-level: 63, builder: neo)
Reading CVD header (bytecode.cvd): OK (IMS)
bytecode.cvd is up to date (version: 271, sigs: 47, f-level: 63, builder: anvilleg)
|
1
2
3
4
5
|
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
|
-
CPU核數(從/proc/cpuinfo讀取)。
-
CPU速度(從/proc/cpuinfo讀取)。
-
CPU使用(從/proc/stat讀取)。
-
Gate'a的 IP(從/proc/net/route讀取)。
-
Gate'a的MAC地址(從/proc/net/arp讀取)。
-
網路介面資訊(從/proc/net/dev讀取)。
-
網路裝置的MAC地址。
-
記憶體(使用/proc/meminfo中的MemTotal引數)。
-
傳送和接收的資料量(從/proc/net/dev讀取)。
-
作業系統名稱和版本(透過呼叫uname命令)。
1
2
3
4
|
ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt
|
1
2
3
4
5
6
7
8
9
|
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
|
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/312079/viewspace-2139844/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 記一次Linux伺服器上查殺木馬經歷Linux伺服器
- [病毒木馬] 檔案自刪除
- 一次Android許可權刪除經歷Android
- 一次伺服器被入侵後的分析伺服器
- 雲伺服器遭到駭客入侵植入木馬病毒排查過程伺服器
- 記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬PHP
- 如何排查linux伺服器被入侵Linux伺服器
- 道路千萬條,安全第一條——一次伺服器被入侵的處理經過伺服器
- 一次Linux遭入侵,挖礦程式被隱藏案例分析Linux
- 記一次ASP.NET網站的入侵和如何避免被入侵ASP.NET網站
- 記錄一次Mongodb被勒索的經歷MongoDB
- 記錄一次木馬排查
- 設定PHP程式訪問限制,徹底杜絕PHP木馬入侵PHP
- Linux 檢視程式和刪除程式Linux
- 記一次 CDN 流量被盜刷經歷
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 如何判斷 Linux 伺服器是否被入侵?Linux伺服器
- Linux伺服器被入侵後的處理過程Linux伺服器
- 記一次網站被攻擊經歷網站
- 記一次Linux系統被入侵的排查過程(一)Linux
- linux下和windows下如何防止php木馬LinuxWindowsPHP
- 那些年困擾Linux的蠕蟲、病毒和木馬Linux
- 記一次從刪庫到恢復的經歷
- linux伺服器上使用find查殺webshell木馬方法Linux伺服器Webshell
- 記一次靈異般的 Bug 除錯經歷除錯
- 記一次被“虐的體無完膚”的面試經歷面試
- 木馬新變種Flashback.B入侵Mac OS X升級Mac
- linux下查詢php木馬LinuxPHP
- linux的刪除檔案命令和強制刪除命令Linux
- [面試]記一次被問到煩起來的面試經歷。面試
- sql2000安全設定,堵截cmd.exe和ftp.exe木馬入侵SQLFTP
- 記一次linux伺服器入侵應急響應Linux伺服器
- 伺服器SSH後門木馬查殺伺服器
- 計一次Win32 api程式顯示混亂問題的除錯經歷Win32API除錯
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- Linux運維中如何對Linux伺服器進行防禦木馬措施?Linux運維伺服器
- 微信小程式swiper旋轉木馬微信小程式
- 經驗:常見木馬和未授權控制軟體的關閉2