linux DDos病毒查杀过程记录

最新推荐文章于 2025-11-25 20:11:40 发布
转载 最新推荐文章于 2025-11-25 20:11:40 发布 · 1.7k 阅读 · 1
文章标签:

#linux病毒查杀 #clamscan

本文记录了作者使用clamscan在Linux环境下查杀木马的过程,包括发现木马、删除木马文件、破坏并阻止木马再生的方法,以及如何处理定时任务和监控进程。

shell> clamscan -r -i /
查出木马:/bin/pydcddfuia:Unix.Trojan.DDoS_XOR-1

1、查看/etc/cron.hourly  目录下的可疑.sh文件
ljjoamwmrybbx.sh
gcc.sh

2、查看gcc.sh内容,木马源文件
/lib/libudev.so
/lib/libudev.so.6
查看ljjoamwmrybbx.sh内容
cp "/bin/ljjoamwmrybbx" "/bin/ngfljaremb"

3、查看定时任务:/etc/crontab
木马:*/3 * * * * root /etc/cron.hourly/gcc.sh

删除以上木马文件,删除定时任务,杀死对应进程

4、ljjoamwmrybbx.sh删除后发现,会立即生成以随机字符命名的 .sh文件
既然删不掉,那么破坏掉,vim编辑删除文件的内容,再通过以下命令防止重新生成
shell> chattr +i /etc/cron.hourly

5、检查 /bin 目录下的文件,发现木马复制了很多副本,全部删除。删除后重新扫描确认清理干净

相关命令:http://linux.51yip.com/search/clamscan

安装:apt-get install clamav

更新病毒库: /usr/bin/freshclam

 

其他过程记录:

/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND
/bin/ps: Unix.Trojan.Agent-37008 FOUND
/bin/flujbtcxqb: Unix.Trojan.DDoS_XOR-1 FOUND

/etc/wxmm: Unix.Trojan.Ddostf-6443160-0 FOUND
/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/pypksflzko: Unix.Trojan.DDoS_XOR-1 FOUND


clamscan -r /usr --remove

删除该/lib/libudev.so会立马重新生成,应该是上述top查到的可疑进程监控的。
既然删不掉,那么破坏掉:
echo slkfhrl,kfhs > /lib/libudev.so
rm /lib/libudev.so
touch /lib/libudev.so
chattr +i /lib/libudev.so
再kill掉上述木马进程,发现进程被杀死没有重新创建。

clamav完整查杀linux病毒实战
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
10-02 9480
开篇前言      Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的...
Linux病毒研究与分析
Go With Heart的专栏
08-05 4661
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
LINUX系统病毒查杀及木马病毒服务手动删除
08-19
LINUX系统病毒查杀及木马病毒服务手动删除,网管必备。
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 1006
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
Linux 病毒查杀
最新发布
weixin_44824252的博客
11-25 263
木马,病毒查杀
服务器病毒排查记录
梵城专栏
05-30 518
金秋送爽,丹桂飘香,在这个已经逝去的秋天,我收获了酸爽。下面,以时间顺序记录此次服务器病毒排查过程。 8月第一周,服务器进入IDC机房,机器通过几台交换机,包括核心交换机,汇聚交换机,局域网交换机直接向外提供服务,用拟人化的手法形容服务器当时状态的话,叫裸奔。所以,处于网线另一端网络高手们,很容易通过工具扫描到这些服务器,而这个时候的服务器连本机的防火墙都没有打开。 防火墙是什么,防火墙是数据进入服务器的第一道关卡,执行的是iptables的策略规则来限制或放行进入服务器数据,其策略规则除了运维人员配置外,
记录内网服务器病毒查杀
m0_37742319的博客
08-15 934
看一下这点文件路径什么情况 果然发现一个复制文件然后启动后删除文件命令,先把cron.hourly下的文件都删掉。不容易啊,但是还没完现在还有一个问题服务器是如何被攻击进入的,执行文件又是如何放进来的还是没找到问题所在,继续排查。由于公司没有网络安全人员,导致内网服务器水深火热,偶然间发现了一个服务器中病毒查杀一下。果然啊没那么简单,说明病毒启动后把病毒文件给删了,应该是有第三方任务执行的。执行 kill -9 进程会瞬间重启,应该是有守护进程。再执行top 果然找到病毒进程。cpu占用783%!
Linux DDOS病毒手动查杀
一叶知秋
11-30 1365
1、 执行指令:rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab; 删除 /etc/cron.hourly/gcc.sh 2、查看进程:top,找出所有无序10位随机名称的进程PID 3、对所有病毒进程执行指令:kill -STOP {PID} 4、查找并删除以下文件夹中的病毒文件(文件名称也是无序10位随机名称) /etc/init.d...
【安全脚本】 centos 下的病毒木马查杀脚本
2401_88308912的博客
12-16 801
病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。特点:安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点支持读写扫描提供病毒数据更新可以扫描档案和压缩文件小编这些年深知大多数初中级Python工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
Linux安全检测工具--运行即可抓到多数僵尸程序
博大汽车信息安全
07-30 1628
本文将详细介绍作者开发的 Linux 安全检测工具的功能,包括进程分析、网络分析、日志分析、文件分析、利用现有检测工具、容器分析、数据库分析、环境变量分析、启动脚本分析、启动服务分析、账号密码配置分析、账号权限配置分析、预加载库/动态链接器/动态链接库分析、内核模块分析、敏感目录下异常文件分析等,帮助用户更好地了解和选择合适的 Linux 安全检测工具。进程分析是 Linux 安全检测工具的核心功能之一,主要用于检测系统中是否存在可疑或恶意的进程。# ... 其他进程分析代码 ...# 伪装内核进程检测。
Linux平台流行病毒解析 企业用户为主要攻击目标
weixin_46404689的博客
07-06 624
Linux操作系统因拥有高稳定性、通用性、开源等特性,通常在web服务器、IoT、嵌入式开发、超级计算机等领域作为首选操作系统。近年来,不仅互联网行业,政府、金融、教育、医疗、制造业、能源等行业也越来越多采用Linux架构的办公系统和服务器系统。无论是为了维护技术工程人员的开发安全,还是保护企业的信息和财产安全,Linux系统终端的安全防护日益成为一个重要的课题。...
Linux服务器防护篇:击退DDoS攻击
qq_44005305的博客
03-01 1038
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
记录公司测试环境zigw病毒查杀
Danielmumu的博客
02-27 335
这几天测试环境贼卡,打个war包都很久,top命令查看一下cpu,发现有个进程飚得超高 百度之参考该博文解决 https://www.cnblogs.com/t-road/p/10187004.html 但是还有遗留问题,发现公司测试环境网站一访问自己电脑的cpu就飙到百分之一百,按f12发现执行了很多挖矿脚本,将js导下来看发现所有js文件都出现了以下代码 通过find命令来查找存在...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 3330
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
记录一次杀毒过程
wind的博客
07-14 422
yayaya病毒查杀
DDoS攻击与病毒防御全指南(来源专栏:网络空间安全)
2301_79503583的博客
03-19 1764
在攻防永续对抗的网络安全领域,防御者需要构建"纵深防御+主动免疫"的复合型安全体系。通过持续的安全意识教育、技术体系升级和应急演练,将网络安全防线从单纯的被动防护转变为动态的攻防博弈。
Unix.Trojan.Agent-37008木马查杀
carry的博客
11-12 2470
最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。 于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。 于此
杀毒成瘾--继续linux服务器挖矿病毒查杀
一本正经学技术
09-25 2103
运维播报 前言 在昨天设置好定时关闭病毒进程的任务后,今天早上检查一下效果,查看回写日志信息,如下图: 今天继续查找病毒源头。 实时记录 由于直接通过crontab -l命令无法查到真实定时任务,只能通过排查/etc下的cron相关文件进行排查分析。 首先/etc/cron.d目录下存在0hourly文件,查看内容如下: [root@MiWiFi-R2D-srv ~]# cat /etc/cron.d/0hourly # Run the hourly jobs SHELL=/bin/bash PATH=
防御DDoS攻击的五种ddos security安全解决方案
热门推荐
Innocence_0的博客
06-20 1万+
DDoS(分布式拒绝服务)攻击是一种恶意行为,旨在通过大量的请求淹没目标服务器或网络,导致服务不可用。为应对DDoS攻击,有多种安全解决方案可供选择。流量清洗是一种有效的DDoS攻击防御策略,通过实时监测和过滤进入的网络流量,识别并过滤掉DDoS攻击流量,仅将合法流量传送到目标服务器。流量清洗的实施可以采用专业的DDoS清洗设备或云服务。这些设备和服务使用先进的流量分析和识别技术,在网络边缘或云端建立监控节点。当流量进入网络时,它们会即时分析流量的源、目的、流量特征和行为模式等,以判断是否存在恶意攻击。
D盾-shell查杀工具深度分析
资源摘要信息: "D盾-shell查杀.zip" 是一款专用于Linux系统的安全工具,主要用于检测和清除恶意脚本和shell病毒。在信息技术领域,安全始终是一个重要议题,特别是对于服务器和工作站来说,一个被入侵的系统可能会...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值