记一次阿里云木马排查过程

最新推荐文章于 2025-05-06 16:18:44 发布
最新推荐文章于 2025-05-06 16:18:44 发布
阅读量4.6k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: 木马 阿里云 clamav 安全 扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dreamer2020/article/details/98652888

问题描述

接到阿里云报警邮件,说是一台ECS有恶意进程。查看阿里云的安全详情,发现有恶意进程(云查杀)-自变异木马:
在这里插入图片描述
登录到服务器上检查/bin目录,发现该文件确实不对,大小变成的1.1M,类似的还有netstat。如下图:
在这里插入图片描述
正常ubuntu系统下的ps才96K,netstat大小为117K,上述命令文件被恶意窜改了。

检查

根据手动分析的结果发现,有多处系统文件被感染。通过lastlog等命令查看系统登录及操作,并未发现有被入侵的痕迹。
分析启动项,发现多出了如下文件:

/etc/rc1.d/S97VsystemsshMdt
/etc/rc2.d/S97VsystemsshMdt
/etc/rc3.d/S97VsystemsshMdt
/etc/rc4.d/S97VsystemsshMdt
/etc/rc5.d/S97VsystemsshMdt
/etc/rc1.d/S99selinux
/etc/rc2.d/S99selinux
/etc/rc3.d/S99selinux
/etc/rc4.d/S99selinux
/etc/rc5.d/S99selinux

两个文件都是软链接:
在这里插入图片描述
可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。

最低0.47元/天 解锁文章

200万优质内容无限畅学
国际阿里云:Windows系统ECS实例中CPU使用率较高问题的排查及解决方案!!
TG_kinglki的博客
11-10 919
Process Explorer是一款Microsoft Sysinternals工具,通过配置正确的Symbols,检查对应应用程序的线程调用的Call Stack,用以定位可能的问题驱动。在使用Windows Server 2012的1 vCPU 1 GiB规格的实例时,Windows Update服务会自动更新,实例的CPU使用率也会突然升高,这是正常现象。如果可能,请升级杀毒软件到最新版本,或者删除杀毒软件。在任务管理器的进程页面中,单击PID,通过排序,找到之前资源监视器查看到的异常进程。
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 5170
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 503
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
一次监控网络,linux杀毒经历
jc_benben的专栏
08-21 1899
一次监控网络,linux杀毒经历 某个项目一位网管监控到网内一台服务器网络明显异常,其他主机都不能访问了,好几次了。 一,查看是否有特权用户: 检查是否组id为0的用户 awk -F: '$3==0 {print $1}' /etc/passwd 检查密码是否为空的用户: awk -F: 'length($2)==0 {print $1}' /etc/shadow 二,查看恶意进程等
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力
murphysec的博客
02-21 819
软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶意软件等,并涉及到软件生命周期的所有环节,包括开发、测试、交付、维护等。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。墨菲安全的“苏木-软件成分分析”、“京墨-源安全管理网关”、“南星-云原生容器安全”、“赤剑-许可证合规管理”、“贯众-漏洞情报预警”这五大产品,夯实了软件供应链安全平台的能力。
Linux服务器中木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 5040
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
Linux服务器下Linux.BackDoor.Gates.5病毒的简单处理方法
weixin_33950035的博客
08-12 794
今年年初的时候,公司负责的项目有相当一批Linux服务器,被病毒侵袭了。。有的人可能会问了,Linux也能被感染病毒?呵呵,答案是可以的。 任何服务器只要把Root或者Administrator权限泄露出去了,对于Hacker来说就拥有无限可能,要知道Hacker就是高级的程序员,呵呵。 录这篇文章的目的,并不是说按照这篇文章的描述方法...
阿里云服务器上搭建单节点Kubernetes集群的完整指南与故障排除
最新发布
weixin_39777492的博客
05-06 904
通过本文的步骤,您可以在阿里云服务器上快速搭建单节点Kubernetes集群,并掌握常见问题的排查方法。安全与稳定性:生产环境需谨慎操作防火墙、SELinux及污点配置。资源预留:为Master节点预留足够资源,避免管控组件异常。监控与维护:定期检查证书有效期,部署监控工具。Kubernetes的学习曲线较陡峭,但通过实践与问题解决,您将逐步掌握其核心机制。希望本文能为您的容器化之旅提供有效助力!附录Kubernetes官方文档阿里云容器服务最佳实践。
阿里云ECS服务器内存一直居高不下,被挂木马解决方法
醉里挑灯看剑的博客
02-25 3318
我现在所在的公司负责的一个项目,使用的是阿里云ecs服务器,4核8G。近期阿里云提醒有安全漏洞,登录阿里云账号之后,根据提示删除了相应的文件。但是比较奇怪的是服务器内存一直升高,一度达到了80%以上,开始怀疑是由于用户激增导致,也没有太过于放在心上。 但是连续几天持续发生这种情况,而且跑的一些定时任务进程也被无故杀死,才引起了我的注意。当然这个时候还是没有太当回事,只是随手重启了服务器,又重启了定时任务。查看了一下ecs内存使用率,降到了10%以下,定时任务也正常。但是短短一分钟以后,内存开始持续升高,定时
盖茨木马入侵处理经历
weixin_30622181的博客
06-23 838
今天早上在进行服务器巡检时,发现ps命令出现了比较诡异的进程. 开始怀疑命令被替换,于是执行stat命令,与正常服务器上的命令进行核对 Notice:这是处理后的截图,将原来的文件重命名了ps_bak 正常服务器# stat /bin/ps File: `/bin/ps' Size: 87088 Blocks: 176 IO Bloc...
阿里云自变异病毒处理-clamav
ba_pi的博客
07-14 886
阿里云自变异病毒处理 前几天因为yapi的一个漏洞,导致服务器遭受攻击。说一下处理流程。 1.通过top查找占用cup和内存高的可疑程序。 2.通过进程号找到按照目录,删除文件,停用程序。 一开始我就是这么干的,没过多久,阿里云报了一个自变异病毒,我准备去查询进程号,使用netstat,ps,lsof命令我发现不对劲了,没有任何反应 登录到服务器查询/bin目录,文件大小不对,可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。 二、安
一次服务器被入侵(木马,挖矿)的排查过程
诺浅的专栏
01-05 6145
阿里云安全中心报告了告警信息,同时手机短信、邮件、电话也接收到了来自阿里云的风险通知,感觉这方面阿里云还是不错。
第十期 一句话木马与上传漏洞
m0_75196987的博客
05-21 473
然后就开始我们今天的文件上传,然后我们来简单的介绍一下原理嗯,文件上传呢都是有文件上传的接口,如果在后台开发时没有对上传的文件进行安全考虑,或者说采用了有缺陷的措施就会导致攻击者可以通过医生手段让我安全措施,从而上传一些恶意文件,通过该恶意文件来防护嗯嗯后我们就可以通过webster来获取他这台电脑的所有信息并删除,或者说嗯呃,这个讲的话可能不太不太清楚,我给大家演示一遍。3、如果上传文件的类型、大小等信息都符合要求,则服务器为该文件分配一个唯一的文件名,并将其存储在服务器上的相应位置。
免杀PHP一句话木马(把阿里云给过了)
weixin_50464560的博客
05-21 5553
免杀PHP一句话木马:https://www.cnblogs.com/sunny11/p/13680612.html 原酒仙桥文章:(这是全部渗透过程)https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247487032&idx=1&sn=c124a25ededa31f3d695e906fbcb752d&chksm=9b392889ac4ea19fa2b7e02c6048b697ed00924e64d93d3f037
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 900
一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
linux服务器被入侵查询木马(清除方法)
半僧
11-17 7288
一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 前两天服务器被扫描后,出现莫名进程,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆服务器发现一个进程直接懵了,清掉我ROOT所有文件。 这是/etc/profile文件,发现!!! 这明显是前天我没有清理干净,又被攻击了。那就开始排查,战斗!先清理可疑程序,如: 明显不认识
linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1390
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
木马工作原理与清除过程详解
"木马详细解说,木马清除过程" 在计算机安全领域中,木马(Trojan)是一种非常危险的恶意程序,它可以潜入计算机系统,窃取用户的敏感信息,或者控制计算机系统,执行恶意操作。因此,了解木马的工作原理和清除方法...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值