项目应用服务器病毒事件处理

原创 已于 2024-12-09 09:18:25 修改 · 2k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2024-12-08 20:48:09 首次发布

事件报告

针对项目应用服务器发生的病毒事件,我们进行了系统排查与处理。起初,我们发现了netools进程异常占用CPU资源,并在/tmp目录下生成大量文件的情况。通过杀死该进程及删除启动目录,并未成功解决问题。进一步排查中,发现了两个可疑的系统服务,并通过查看其单元文件内容,确认其存在恶意执行命令的行为。我们针对/tmp目录下病毒文件的生成,新建审计规则进行监控,并发现被感染文件是通过被篡改的/bin/ls执行的。随后,我们删除了被篡改的ls文件,清理了/tmp目录下的文件,并重新上传了一个新的ls。同时,为了进一步防范类似事件的发生,我们安装并更新了杀毒软件,并进行了全盘扫描。最终,我们成功清理了8个感染文件,保障了系统的安全稳定。

排查处理过程

1.使用top查看资源使用情况 

可以看到netools进程CPU占用率,而且一直不断在生成,且在tmp目录下启动

2.杀掉进程及删除掉启动目录

killall netools

rm -rf /tmp/file*

处理后使用top发现在病毒还在生成,继续排查

3.查看系统中已启用的服务systemctl list-unit-files --type=service |grep enable

可以看到服务中发现2个可疑服务

4.查看可疑服务的单元文件内容

ll /etc/systemd/system/multi-user.target.wants/

cat /etc/systemd/system/multi-user.target.wants/Ap0DH2lS.service

根据脚本可以看出在系统、网络启动后,执行/bin/bBmyxzLm命令,并且每隔60秒自动重启

5.新建审计规则,捕捉/tmp目录下病毒文件是哪个进程生成的

6.查看审计日志cat /var/log/audit/audit.log

可以看到/tmp目录下的病毒文件是通过/usr/bin/ls来执行的,查看/bin/ls发现被改过.

7.删除ls,删除/tmp目录下的文件,杀掉进程netools 

            rm -rf /bin/ls

killall netools

rm -rf /tmp/file*

8.重新上传一个新的ls

9.安装杀毒软件yum install clamav clamav-update

10.更新病毒库freshclam

11.全盘扫描,查看被感染文件clamscan

 发现被感染的文件有8个。清理文件

netools源代码
06-17
不用多说了,ifconfig,netstat等命令的源代码。很好的学习资料。
精选资源
面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析
04-19
在处理安全事件时,首先要进行的是入侵排查,这是应急响应的重要步骤。在Windows系统中,排查入侵的思路需要系统化,包括但不限于检查系统日志、系统文件完整性、系统服务、计划任务等。同时,使用相应的工具来辅助...
解决linux中挖矿病毒
chen_jianjian的专栏
07-13 1万+
服务器服务不响应 有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常 获取病毒绝对路径 [root@localhost ~]# cat /proc/17521/cmdline wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe lrwxrwxrwx. 1 root root 0 7月 13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c393.
这个netools占cpu特别多,kill关掉之后过一会又重新自起了,也试过sudo systemctl stop netools 禁止自启 提示提示failed to execute operat
weixin_60504005的博客
01-22 2291
服务器病毒排查与处理
qq_45669210的博客
01-31 2791
用htop命令发现32个线程被完全占用,但是没有显示相应的进程,怀疑是中病毒了。
Linux运维笔记:服务器感染 netools 病毒案例
Sun_Seeker的博客
06-02 2348
本文记录了一例 Linux 服务器挖矿病毒的排查与处理过程。通过 htop 发现 CPU 异常占用但无对应进程,使用 unhide proc 检测到隐藏进程 /tmp/netools 和恶意脚本 /bin/tDLzoNS7 ...
linux Net-tools命令使用和输出信息分析
DDQ337的博客
01-03 5499
首先安装 net - tools ,yum insatll net-tools netstat命令格式如下: 默认情况下,netstat显示打开的套接字列表。如果不指定任何地址族,则将打印所有已配置地址家族的活动套接字。 netstat [参数] 参数: -a (all)   显示所有连接中的socket信息。 -t (tcp)   仅显示tcp相关选项。 -u (udp)   仅显示udp相关选项。 -n      直接使用ip地址,而不通过域名显示。 -l      仅列出有在 Listen (..
服务器中了勒索病毒怎么处理?
荣合技术外包服务
05-24 913
同时,也需要对服务器的系统配置、数据库等进行清理和修复,确保没有其他潜在的安全隐患存在。同时,也需要评估攻击对服务器的影响范围和程度,以便制定更加有效的处理方案。同时,也需要对员工进行网络安全培训和教育,提高他们的网络安全意识和技能水平。在处理完勒索病毒之后,为了确保服务器的安全性和稳定性,需要加强安全防护措施。同时,也需要对服务器的访问权限进行严格管理,避免出现未经授权的访问和操作。在清除病毒之后,需要对备份的数据进行恢复。恢复数据时需要注意数据的完整性和准确性,避免出现数据丢失或损坏的情况。
公司某应用服务器被挂挖矿病毒处理流程
weixin_41876359的博客
07-29 2796
公司某应用服务器被挂挖矿病毒处理流程 2021年7月20日 本来正在高高兴兴做项目,突然接到一个老客户的电话,跟我说他们的服务器被人植入了挖矿病毒,cpu爆满。 好家伙,客户上来给我发了个病毒扫描文件【听说是发现服务器卡顿后,安装了火绒企业版(收费)可以扫描linux主机,看来效果还不错,可以扫到很多东西】 看了下看服务器已经完全沦陷了 看了下情况,服务器目前已经是在自动连接矿池挖矿了。 1.关闭服务器连接外网的权限。 可以看到连接是从服务器主动连接到矿池的,首先关闭掉服务器连接外网的流量,不让服务
Gst病毒服务器的NvDsInferYolov EfficientNMS()_NvDsInferYolov7Effici
09-01
NvDsInferYolov7EfficientNMS的高效性体现在其能够在保持高检测精度的同时,大幅减少计算资源的消耗,这一点在服务器端尤其重要,因为服务器需要同时处理大量的视频流数据。 在实际应用中,Gst-nvinferserver配合...
netstat -an 实现的源码
06-01
windows 中没有提供给我们可用的netstat -an 的源码,本人利用C++的函数实现了这一功能……
病毒防护系统检测记录表.docx
08-10
2. 及时记录和处理病毒感染情况,以防止病毒扩散。 3. 结合其他安全工具,提供更加全面的安全保护。 4.对病毒防护系统检测记录表进行备份和存档,以便日后查询和分析。 病毒防护系统检测记录表是一种非常重要的...
ubuntu18.04安装net-tools
liji_digital的博客
05-22 1万+
我的ubuntu18.04虚拟机上默认是没有ifconfig指令的。当然,我可以用apt安装,但是这样可能会把一系列依赖包也带进我的环境,让我不知道到底自己对环境做了多少改动。所以我打算用源码编译。另外一个想编译的原因是,我想学习一下别人的源码,而ifconfig又是一个常用的指令,并且代码量相对较小,学习曲线不是那么陡峭。 目录 下载net-tools 编译 效果 下载net-tools ifconfig是net-tools软件的一部分。首先到souceforge网站下载net-tools
记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵
球球的博客
12-06 2363
单位ip被电信拉黑,原因恶意访问非法目的地; 通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110 登陆服务器一看cpu 爆满; 看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice; 清除的过程 使用top已经知道了进程号,接下来看看位置,命令ls -l pro...
每天5分钟玩转Linux系列-CentOS7x64 1810安装net-tools工具
架构师亮哥的博客
06-16 1247
每天5分钟玩转Linux系列-CentOS7x64 1810安装net-tools工具 我们最小化安装的Linux经常会遇到没有ping命令等网络基础工具包,那么如何解决呢? yum install -y net-tools 安装完毕以后百度 可以Ping 获得更多Linux知识 Linux运维技术交流群:QQ:833196402 Python技术交流群:QQ:971440453 大数据运维技术交流群:QQ:766173537 ...
Nettools命令使用和输出信息分析
CMG31334144的博客
01-09 4435
一.安装 net - tools : 1.包含netstat的软件包称为net-tools 。 在现代系统上, netstat实用程序已预先安装,因此无需安装。 但是,在较旧的系统上,运行netstat命令可能会遇到错误。 因此,要在Linux发行版上安装netstat ,请运行命令。 # yum install net-tools [On CentOS/RHEL] # apt install net-tools [On Debian/Ubuntu] # zypper install n
net-tools工具箱
热门推荐
hhhhhyyyyy8的博客
11-20 2万+
虽说net-tools工具箱要被iproute2取代,但是连net-tools工具都不会,也说不过去吧。 net-tools工具箱包括arp, hostname, ifconfig, netstat, rarp, route, plipconfig, slattach, mii-tool and iptunnel and ipmaddr等命令。 参考: https://www.cnblogs...
CPU占用异常分析
随风飘流的博客
08-18 1157
cpu占用很高,温度很高排查
Linux CPU占用率监控工具小结
weixin_34242331的博客
08-13 1748
关键词:top、perf、sar、ksar、mpstat、uptime、vmstat、pidstat、time、cpustat、munin、htop、glances、atop、nmon、pcp-gui、collectl。   1. top top是最常用的查看系统资源使用情况的工具,包括CPU、内存等等资源。 这里主要关注CPU资源。 1.1 /proc/loadavg load average取...
netools木马处理
最新发布
09-06
<think> 嗯,用户需要处理netools木马的方法,而且提供了详细的引用资料。从引用内容看,用户可能是个Linux系统管理员,正在紧急处理服务器入侵问题。ta的查询非常具体,说明已经做了初步排查但需要专业清除方案。 引用3特别关键,它完整记录了netools木马的处理过程:包括异常进程、tmp目录文件、恶意服务、被篡改的/bin/ls等特征。用户显然希望获得可操作步骤而非理论说明,需要突出实战性。 注意到引用1和2提到木马会再生,引用5提到Redis漏洞可能关联。这意味着除了清除步骤,还必须强调持续性防护:杀毒软件更新(引用3)、服务加固(引用5)、审计监控(引用3)都很重要。 技术层面需要分层处理:进程清理→文件清除→服务检查→命令校验→防护加固。特别要警告用户不要直接删除/bin/ls(引用3),否则可能导致系统崩溃,正确做法是安全替换。 用户情绪可能焦虑(提到"流量立刻下来"的紧急处理),回复既要专业又要避免制造恐慌。最后的相关问题设计成防御体系进阶,帮助用户预防复发。 </think> 根据引用内容,特别是引用[3]详细描述的实战处理过程,netools木马清除方法如下: --- ### 📌 netools木马清除步骤 1. **终止异常进程** ```bash # 查找netools相关进程 ps -ef | grep netools kill -9 <进程PID> # 强制终止进程 ``` *⚠️ 注意:终止进程仅临时缓解,木马常会复活* 2. **清理恶意文件** ```bash # 删除/tmp目录下的病毒文件(引用[3]) rm -rf /tmp/netools* # 检查其他可疑目录 find / -name "*netools*" -exec rm -fv {} \; ``` 3. **检查系统服务** ```bash systemctl list-units --type=service | grep -i netools # 查找恶意服务 systemctl stop <恶意服务名> # 停止服务 systemctl disable <恶意服务名> # 禁用自启 rm -f /etc/systemd/system/<恶意服务名>.service # 删除服务文件 ``` 4. **修复被篡改的系统命令**(关键‼️ 引用[3]) ```bash # 检查/bin/ls等命令是否被替换 ls -l /bin/ls # 查看文件大小和时间戳 rpm -Vf /bin/ls # 校验文件完整性(适用于RPM系) # 从干净系统复制新文件或重装coreutils包 yum reinstall coreutils -y # CentOS/RHEL ``` 5. **安装审计监控**(引用[3]) ```bash # 监控/tmp目录文件生成 auditctl -w /tmp -p wa -k netools_monitor # 查看审计日志 ausearch -k netools_monitor ``` 6. **全盘杀毒扫描** ```bash yum install clamav # 安装杀毒软件 freshclam # 更新病毒库 clamscan -r --remove / # 全盘扫描并删除感染文件 ``` --- ### 🔒 加固建议 1. **关闭非必要端口** 如Redis等敏感服务禁用公网访问(引用[5]) 2. **更新系统补丁** ```bash yum update -y ``` 3. **定期检查可疑进程** ```bash top -c # 查看CPU占用进程 netstat -antp # 检查异常连接 ``` --- ### 💎 核心要点总结 | 步骤 | 关键操作 | 引用依据 | |-------------|----------------------------------|----------| | **进程清理** | kill异常PID + 监控复活 | [1][3] | | **文件清除** | 删除/tmp下文件 + 全盘查杀 | [3] | | **命令修复** | 替换被篡改的/bin/ls等系统命令 | [3] | | **服务排查** | 禁用恶意systemd服务 | [3][4] | | **防护加固** | 安装杀软+更新+关闭高危端口 | [3][5] | > 📌 经验提示:木马常通过Redis未授权访问入侵(引用[5]),处理完成后务必修复漏洞! --- ### 🔍 相关问题 1. 如何识别Linux系统是否被植入netools木马? 2. Redis未授权访问漏洞如何彻底修复? 3. 除clamav外,Linux还有哪些有效的入侵检测工具? 4. systemd服务被植入恶意脚本有哪些排查技巧? > 参考资料: > [^1]: Linux 服务器中木马及木马清除 > [^3]: netools病毒处理全记录 > [^5]: Redis漏洞导致木马入侵案例
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值