Linux下手动查杀木马过程

最新推荐文章于 2025-11-27 12:48:18 发布
原创 最新推荐文章于 2025-11-27 12:48:18 发布 · 656 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #linux

使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)

Rootkit概述

Rootkit概述:Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。我们接下来讲介绍 adore-ng (rootkit其中一种)的使用方法。 注:adore[əˈdɔ:®] 崇拜

adore-ng可以在linux系统下实现:提权,隐藏进程号,隐藏文件等功能

官网:https://github.com/trimpsyw/adore-ng

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PSv77iXX-1581564046321)(file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml15588\wps1.jpg)]

实验1-通过rootkit隐蔽行踪

实战背景: 当黑客已经上传了木马-》获得普通权限-》提权成root -》现在开始使用rootkit隐蔽行踪。

1、安装adore-ng

# 上传adore-ng-master.zip到linux系统上
root@localhost yum.repos.d]# rpm  -ivh /mnt/Packages/kernel-devel-2.6.32-431.el6.x86_64.rpm
#安装依赖包
[root@ localhost ~]# unzip adore-ng-master.zip
[root@ localhost ~]# cd adore-ng-master
[root@localhost adore-ng-master]# make -j 4       #编译,将源码编译成二进制文件,不需要执行make install 文件
[root@localhost adore-ng-master]# insmod adore-ng.ko  #加载模块。

2、测试,查看帮助:

[root@ localhost adore-ng-master]# ./ava
Usage: ./ava {
   
   h,u,r,R,i,v,U} [file or PID]

       I print info (secret UID etc)
       h hide file                           # 隐藏文件
       u unhide file
       r execute as root                     # 可以提权,以root身份运行程序
       R remove PID forever
       U uninstall adore
       i make PID invisible
最低0.47元/天 解锁文章
Linux系统木马查杀
Saindy5828的专栏
02-18 1271
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
Linux查杀***经验总结
weixin_34417200的博客
05-23 307
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
Linux下简单的木马查杀
周瑜的博客
02-07 1389
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
Linux手动查杀木马与Rootkit的实战指南
weixin_43822401的博客
06-23 913
手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
木马入侵查杀 linux
weixin_30598225的博客
12-18 339
目 录: 一、问题现象: 二、问题排查: 1、netstat 排查: 2、top查看: 3、lsof -c 命令排查: 4、确定中木马了。 三、木马查杀木马1,清除: 木马2,清除: 四、后续处理: 1、iptables检查 2、cron检查 3、chkconfig检查 4、木马删除,持续观察确认 五、入侵原因及后续避免措施: 1、入侵原因: 2、后续避...
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
jackhanyuan的博客
10-09 3057
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 1103
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
Linux查杀webshell木马的工具.zip
01-05
Linux查杀webshell木马的工具.zip
手工查杀木马病毒方法
用人生编写程序 用程序编写人生—— 程序人生
07-25 1295
           ●在Autoexec.bat和Config.sys中加载运行  这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。   ●在Winstart.bat中启动   Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 3191
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
Linux查杀木马常用命令
nece001的专栏
02-21 1638
先进行检查: 根据top命令查看当前进程,找到可疑进程的进程号和运行的用户 去/proc目录下对应的进程号目录,查看exe文件对应的目录 (今天发现的是pscan2这个木马,启动用户是tel) 着手处理 1、停止用户tel所有进程 #pkill -9 -U tel 2、删除用户tel #userdel tel 其它可能有用的命令 停止名为scanssh的所有进程 #pkill -9 ...
Linux系统木马解决
qq_45806499的博客
05-08 232
二进制程序逆向查看发现,其是通过sys_execve动态加载的恶意二进制程序或脚本。但执行的名称是动态的,逆向代码里涉及到文件和环境变量,不好查找。查看了所有的环境变量和二进制文件里的字符串信息,还是确定不了。命令去扫描后台隐藏进程,发现有隐藏进程,kill杀掉后htop的cpu占用就恢复正常了,但过一会仍会重新恢复成之前极高的cpu占用情况。在删除这个定时任务后就没有再发生cpu资源被大量占用的情况,于是把这个定时任务里执行的。里没有,到/etc/cron.d目录里查,在。此时确定电脑中木马了,使用。
Linux木马病毒处理
小树苗
10-13 4804
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
遇到的问题与解决 k8s节点加入集群
最新发布
2501_91384465的博客
11-27 291
得到的结果放到下面,出现这样的报错。1.2 删除后重新显示加入了集群。
Windows环境下查杀Linux恶意文件教程
在Windows环境下进行Linux恶意文件的查杀是一项具有挑战性的任务,因为Windows与Linux系统在架构和文件系统上有显著差异。尽管如此,仍然有一些方法可以实现这一目标。以下将详细解析相关知识点: 1. 双系统环境下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值