Linux一次病毒处理

最新推荐文章于 2025-05-26 01:00:00 发布
原创 最新推荐文章于 2025-05-26 01:00:00 发布 · 589 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #安全

本文描述了在Linux系统中遇到CPU和内存资源被占用异常的情况,通过检查网络连接和文件变动,怀疑是挖矿病毒导致。重点分析了动态链接库预加载机制如何被恶意利用,以及如何通过top命令和系统配置文件排查可能的后门和木马。

现象:CPU、内存爆满,top命令无法检测出异常进程

  1. 通过网络连接查看是否有异常连接,发现异常连接国外IP,疑是感染挖矿病毒
netstat -anp
  1. 通过变更文件可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的。 vi /etc/ld.so.preload 去掉里面的更改内容

在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。
——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》

  1. 通过top查找出对应的异常进程
    在这里插入图片描述
  2. 查看crontab、/etc/cron…、环境变量.bash_profile、/etc/rc.local等内容,找出是否异常
    在这里插入图片描述
    发现木马文件删除:
crontab -r
lsattr /bin/bprofr
chattr -ia /bin/bprofr
rm -rf /bin/bprofr
chattr -ia .bash_profile
vi .bash_profile
应急响应中Linux库文件劫持
dayouzi的博客
02-13 2991
在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。
应急响应-进程隐藏
qq_45694932的博客
04-15 966
通过劫持getdents() 或 readdir()来隐藏进程,编译后将生成的 .so 文件路径写入 /etc/ld.so.preload。但是使用 busybox 可以看到隐藏进程的相关信息,那是因为 busybox ps 命令直接读取了 proc 目录的数字,不调用系统预加载库。用户态常使用的方法有很多,例如劫持预加载动态链接库,一般通过设置环境变量 LD_PRELOAD 或者 /etc/ld.so.preload,过滤 /proc/pid 目录、修改进程 PID 等等。
Linux下的LD_PRELOAD环境变量与库打桩
weixin_44966641的博客
10-29 2524
Linux下的LD_PRELOAD环境变量与库打桩 LD_PRELOADLinux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库,一方面,我们可以以此功能来使用自己的或是更好的函数(比如,你可以使用Google开发的tcmalloc来提升效率),而另一方面,我们也可以向别人的程序注入程序,从而达到特定的目的。 我们下面以一个 foepn() 函数的例子来展示一下如何实现运行时库打桩。 正常库函数调用 首先,我们建立一个测试目录
移动linux目录的病毒,记一次Linux病毒处理
weixin_39662578的博客
04-29 604
病毒特征比较明显,进程列表中会出现十位随机字母病毒进程,并占用大量CPU。除此之外还会在修改 /etc/crontab 和新增文件/etc/cron.hourly/gcc.sh 来启动定时任务。/etc/cron.hourly/gcc.sh 内容如下 脚本内容如下:打开网卡,然后启动 libudev.so。该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把...
分享一则Linux系统邮件提示 /usr/local/lib/libprocesshider.so > /etc/ld.so.preload 的中病毒解决方法
weixin_45225923的博客
09-06 4992
最近发现生产服务器CPU占用过高但是查看进程却没有任何过高的进程,最高也才是1点多,而且系统经常收到root用户发送的邮件 所以有理由是怀疑中了挖矿病毒,查看网络连接信息(命令:netstat -napt)后发现一条疑似矿池的连接记录 然后去查找这个IP地址发现是M国的一个地址,去到某服安全中心查看这个IP果然是矿池地址无疑 某安的威胁中心查出来的结果也是一样的, 显示结果跟网络连接中的信息是一样的,这下确定无疑了 ...
精选资源
centos7挖矿病毒处理方法
04-12
以上步骤完成后,为了确保系统安全,需要进行一次全面的病毒扫描,以检查是否还有未被发现的恶意代码存在。 5. 重新配置系统安全策略。确保系统的防火墙和安全更新处于开启状态,并升级到最新版本,安装必要的安全...
Linux下CPU1000%记一次挖矿病毒清理流程
05-29 846
今天top后发现一个进程CPU高1795%,判断是病毒
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 761
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
Linux系统预防病毒攻击详解:从基础防护到高级检测
最新发布
weixin_42593797的博客
05-26 996
本文探讨了Linux系统预防病毒攻击的关键策略和技术手段。首先分析了常见的Linux病毒类型,包括Rootkit、后门程序、加密勒索软件、挖矿程序和蠕虫病毒,并指出其攻击途径如未修复的系统漏洞、弱密码与暴力破解等。文章详细介绍了基础安全配置,包括系统更新与漏洞修复、防火墙配置和SSH安全强化,提供了具体的代码示例。最后文章介绍了防病毒软件ClamAV的安装与配置,以及实时监控工具auditd和LIDS的使用方法,帮助读者构建多层次的安全防护体系。通过这些措施,可以有效提升Linux系统的安全性,抵御病毒攻击
一次Linux中的木马病毒解决经历
欢迎来到我的博客
12-29 1855
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的. 排查 既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了. 这个时候就说明木马已经入侵了,不是即时入侵的. ...
警惕利用Linux预加载型恶意动态链接库的后门
cleanfield的专栏
01-17 2753
一、动态链接库预加载型rootkit概述 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术,这种技术可以重写系统的库函数,只需要在预加载的链接库中重新定义相同名称的库函数,程序调用库函数时,重新定义的函数即会短路正常的库函数,这种技术可以用来重写系统中有漏洞的库函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, m
深入解析LD_PRELOAD注入动态库.so的原理
Linux内核研究者
01-07 1849
本文介绍了`LD_PRELOAD`和`/etc/ld.so.preload`在Linux系统中用于动态库注入的原理及应用。`LD_PRELOAD`允许用户指定共享库来覆盖程序默认库,适用于函数Hook、调试与性能分析等场景;而`/etc/ld.so.preload`则为系统级配置,影响所有程序。当程序启动时,动态链接器会优先加载`LD_PRELOAD`或`/etc/ld.so.preload`指定的库,进而覆盖原有库函数。
Linux 库文件劫持
travelnight的博客
09-09 2819
Linux库文件劫持
linux LD_PRELOAD 预加载 so 简介
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell中执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
Linux 环境变量LD_PRELOAD
小立仔
06-12 5168
Linux 下使用 环境变量 LD_PRELOAD 简介以及使用其来 hook标准库中的函数
海思Hi3516DV300芯片与ubuntu16.04开发环境的搭建
weixin_42569526的博客
07-11 1993
海思Hi3516DV300芯片与ubuntu16.04开发环境的搭建 安装依赖包以及编译arm-himix200交叉编译器 步骤 1 配置默认使用 bash #sudo dpkg-reconfigure dash 选择 no 步骤 2 安装软件包 执行: #sudo apt-get install make libc6:i386 lib32z1 lib32stdc++6 zlib1g-dev libncurses5-dev sudo apt install lib32z1-dev #sudo apt-get
Linux遇到黑客入侵,如何应急响应
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-24 1792
如果你也想学习:黑客&网络安全的SQL攻防近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是:服务器 CPU 资源长期 100%,负载较高。服务器上面的服务不能正常提供服务。朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了,开始上手看看了。服务器 ssh 密码,设置得很简单。腾讯云安全组范围放得很大。使用了宝塔,宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。
LinuxLD_PRELOAD用法
热门推荐
Making Life Better. Making Others Better.
11-20 2万+
LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。程序中我们经常要调用一些外部库的函数,以malloc为例,如果我们有个自定义的malloc函数,把它编译成动态库后,通过LD_PRELOAD加载,当程序中调用malloc函数时,调用的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值