linux DDos病毒查杀过程记录

最新推荐文章于 2025-03-19 15:46:52 发布
最新推荐文章于 2025-03-19 15:46:52 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: linux 文章标签: linux病毒查杀 clamscan
本文记录了作者使用clamscan在Linux环境下查杀木马的过程,包括发现木马、删除木马文件、破坏并阻止木马再生的方法,以及如何处理定时任务和监控进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shell> clamscan -r -i /
查出木马:/bin/pydcddfuia:Unix.Trojan.DDoS_XOR-1

1、查看/etc/cron.hourly  目录下的可疑.sh文件
ljjoamwmrybbx.sh
gcc.sh

2、查看gcc.sh内容,木马源文件
/lib/libudev.so
/lib/libudev.so.6
查看ljjoamwmrybbx.sh内容
cp "/bin/ljjoamwmrybbx" "/bin/ngfljaremb"

3、查看定时任务:/etc/crontab
木马:*/3 * * * * root /etc/cron.hourly/gcc.sh

删除以上木马文件,删除定时任务,杀死对应进程

4、ljjoamwmrybbx.sh删除后发现,会立即生成以随机字符命名的 .sh文件
既然删不掉,那么破坏掉,vim编辑删除文件的内容,再通过以下命令防止重新生成
shell> chattr +i /etc/cron.hourly

5、检查 /bin 目录下的文件,发现木马复制了很多副本,全部删除。删除后重新扫描确认清理干净

相关命令:http://linux.51yip.com/search/clamscan

安装:apt-get install clamav

更新病毒库: /usr/bin/freshclam

 

其他过程记录:

/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND
/bin/ps: Unix.Trojan.Agent-37008 FOUND
/bin/flujbtcxqb: Unix.Trojan.DDoS_XOR-1 FOUND

/etc/wxmm: Unix.Trojan.Ddostf-6443160-0 FOUND
/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/pypksflzko: Unix.Trojan.DDoS_XOR-1 FOUND


clamscan -r /usr --remove

删除该/lib/libudev.so会立马重新生成,应该是上述top查到的可疑进程监控的。
既然删不掉,那么破坏掉:
echo slkfhrl,kfhs > /lib/libudev.so
rm /lib/libudev.so
touch /lib/libudev.so
chattr +i /lib/libudev.so
再kill掉上述木马进程,发现进程被杀死没有重新创建。

clamav完整查杀linux病毒实战
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
10-02 9259
开篇前言      Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的...
Linux病毒研究与分析
Go With Heart的专栏
08-05 4597
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
记录内网服务器病毒查杀
m0_37742319的博客
08-15 793
看一下这点文件路径什么情况 果然发现一个复制文件然后启动后删除文件命令,先把cron.hourly下的文件都删掉。不容易啊,但是还没完现在还有一个问题服务器是如何被攻击进入的,执行文件又是如何放进来的还是没找到问题所在,继续排查。由于公司没有网络安全人员,导致内网服务器水深火热,偶然间发现了一个服务器中病毒查杀一下。果然啊没那么简单,说明病毒启动后把病毒文件给删了,应该是有第三方任务执行的。执行 kill -9 进程会瞬间重启,应该是有守护进程。再执行top 果然找到病毒进程。cpu占用783%!
Linux DDOS病毒手动查杀
一叶知秋
11-30 1329
1、 执行指令:rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab; 删除 /etc/cron.hourly/gcc.sh 2、查看进程:top,找出所有无序10位随机名称的进程PID 3、对所有病毒进程执行指令:kill -STOP {PID} 4、查找并删除以下文件夹中的病毒文件(文件名称也是无序10位随机名称) /etc/init.d...
LINUX系统病毒查杀及木马病毒服务手动删除
08-19
LINUX系统病毒查杀及木马病毒服务手动删除,网管必备。
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 961
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
服务器病毒排查记录
梵城专栏
05-30 495
金秋送爽,丹桂飘香,在这个已经逝去的秋天,我收获了酸爽。下面,以时间顺序记录此次服务器病毒排查过程。 8月第一周,服务器进入IDC机房,机器通过几台交换机,包括核心交换机,汇聚交换机,局域网交换机直接向外提供服务,用拟人化的手法形容服务器当时状态的话,叫裸奔。所以,处于网线另一端网络高手们,很容易通过工具扫描到这些服务器,而这个时候的服务器连本机的防火墙都没有打开。 防火墙是什么,防火墙是数据进入服务器的第一道关卡,执行的是iptables的策略规则来限制或放行进入服务器数据,其策略规则除了运维人员配置外,
Linux安全检测工具--运行即可抓到多数僵尸程序
博大汽车信息安全
07-30 1429
本文将详细介绍作者开发的 Linux 安全检测工具的功能,包括进程分析、网络分析、日志分析、文件分析、利用现有检测工具、容器分析、数据库分析、环境变量分析、启动脚本分析、启动服务分析、账号密码配置分析、账号权限配置分析、预加载库/动态链接器/动态链接库分析、内核模块分析、敏感目录下异常文件分析等,帮助用户更好地了解和选择合适的 Linux 安全检测工具。进程分析是 Linux 安全检测工具的核心功能之一,主要用于检测系统中是否存在可疑或恶意的进程。# ... 其他进程分析代码 ...# 伪装内核进程检测。
Linux平台流行病毒解析 企业用户为主要攻击目标
weixin_46404689的博客
07-06 599
Linux操作系统因拥有高稳定性、通用性、开源等特性,通常在web服务器、IoT、嵌入式开发、超级计算机等领域作为首选操作系统。近年来,不仅互联网行业,政府、金融、教育、医疗、制造业、能源等行业也越来越多采用Linux架构的办公系统和服务器系统。无论是为了维护技术工程人员的开发安全,还是保护企业的信息和财产安全,Linux系统终端的安全防护日益成为一个重要的课题。...
Linux 下Xorddos的木马清除
瑞雪掩晨曦的博客
11-11 2145
本次实验使用Xorddos病毒,作为模拟应急响应 ,自己的一次小计。 病毒清理 目录 本次实验使用Xorddos病毒,作为模拟应急响应 ,自己的一次小计。 病毒清理 看到网上还有拓展知识 还有一种思路就是将linux磁盘挂载到Windows中,用火绒,360.....杀毒工具进行查杀可能会有奇效。 1.首先这个病毒文件被植入后,除了当前打开的终端不可在打开新的终端,如若刚好为有终端打开则可以用以下方法重新打开终端界面。 这里我们可以运用网上检索到的linux应急方式 linux
Linux服务器防护篇:击退DDoS攻击
qq_44005305的博客
03-01 995
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
记录公司测试环境zigw病毒查杀
Danielmumu的博客
02-27 313
这几天测试环境贼卡,打个war包都很久,top命令查看一下cpu,发现有个进程飚得超高 百度之参考该博文解决 https://www.cnblogs.com/t-road/p/10187004.html 但是还有遗留问题,发现公司测试环境网站一访问自己电脑的cpu就飙到百分之一百,按f12发现执行了很多挖矿脚本,将js导下来看发现所有js文件都出现了以下代码 通过find命令来查找存在...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2715
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
记录一次杀毒过程
wind的博客
07-14 364
yayaya病毒查杀
DDoS攻击与病毒防御全指南(来源专栏:网络空间安全)
最新发布
2301_79503583的博客
03-19 1633
在攻防永续对抗的网络安全领域,防御者需要构建"纵深防御+主动免疫"的复合型安全体系。通过持续的安全意识教育、技术体系升级和应急演练,将网络安全防线从单纯的被动防护转变为动态的攻防博弈。
Unix.Trojan.Agent-37008木马查杀
carry的博客
11-12 2402
最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。 于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。 于此
Linux中安装ClamAV扫描病毒
weixin_43268590的博客
07-27 1584
服务器被病毒攻击,想要手动扫描服务器中的病毒,可以使用的方法包括使用专业的病毒扫描工具、‌检查注册表中的启动项、‌以及利用云安全中心的病毒查杀功能。‌ 我们这里介绍的是通过使用专业的病毒扫描工具ClamAV来扫描病毒。 ClamAV是‌开源的病毒扫描引擎,‌适用于Linux服务器,通过执行Linux命令来更新病毒库和扫描病毒
应急响应--linux病毒查杀工具ClamAV
xianjie0318的博客
07-13 1927
介绍 Clam AntiVirus 是一款 UNIX 下开源的 (GPL) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。该工具包提供了包含灵活且可伸缩的监控程序、命令行扫描程序以及用于自动更新数据库的高级工具在内的大量实用程序。该工具包的核心在于可用于各类场合的反病毒引擎共享库。 主要使用ClamAV开源杀毒引擎检测木马、病毒、恶意软件和其他恶意的威胁。 在线安装 #安装 yum install -y clamav #更新病毒库 为防止蠕虫传播,必须经常检查更新,ClamAV用户需要经.
防御DDoS攻击的五种ddos security安全解决方案
Innocence_0的博客
06-20 9886
DDoS(分布式拒绝服务)攻击是一种恶意行为,旨在通过大量的请求淹没目标服务器或网络,导致服务不可用。为应对DDoS攻击,有多种安全解决方案可供选择。流量清洗是一种有效的DDoS攻击防御策略,通过实时监测和过滤进入的网络流量,识别并过滤掉DDoS攻击流量,仅将合法流量传送到目标服务器。流量清洗的实施可以采用专业的DDoS清洗设备或云服务。这些设备和服务使用先进的流量分析和识别技术,在网络边缘或云端建立监控节点。当流量进入网络时,它们会即时分析流量的源、目的、流量特征和行为模式等,以判断是否存在恶意攻击。
linux ddos 安装
01-07
Linux系统下的DDoS防护安装通常涉及到防火墙规则配置以及使用一些专门的安全工具。以下是一个简要的步骤指南: 1. **更新系统**: - 首先确保你的系统是最新的,因为安全补丁可以帮助抵御攻击。运行 `sudo apt-get update` 和 `sudo apt-get upgrade`。 2. **安装防火墙**: - Linux有许多防火墙选择,如iptables、firewalld或nftables。对于基于iptables的系统,你可以通过 `sudo ufw allow ssh` 等命令开启SSH等必需的服务,并限制不必要的端口。 3. **增强包管理**: - 使用像`fail2ban`这样的软件可以检测并自动封禁恶意IP地址。安装它:`sudo apt- `sysstat` 或 `iftop` 可用于实时监控网络流量,帮助识别异常流量模式。 5. **配置日志分析**: - 启动并配置logwatch或rsyslog,以便定期分析服务器日志,寻找潜在的攻击迹象。 6. **网络安全服务**: - 考虑安装和配置像是ModSecurity或Suricata的Web应用防火墙(WAF),它们能更专业地过滤HTTP请求。 7. **设置防火墙规则**: - 根据需要制定自定义的iptables规则,比如拒绝来自特定源IP的大量连接尝试。 8. **定期审查和优化**: - 定期检查防火墙策略和系统资源使用情况,确保防御措施的有效性。 **相关问题--:** 1. 如何判断某个防火墙规则是否阻止了合法的DDoS流量? 2. Linux下如何配置防火墙以应对UDP DDoS攻击? 3. 使用哪些工具可以对DDoS攻击进行模拟测试以提高防护能力?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值