Linux CentOS 7.2 排查系统木马

本文记录了在Linux CentOS 7.2系统中排查和清除木马的过程。发现在Redis数据被篡改,root用户的计划任务出现异常,存在远程下载恶意脚本的活动。通过查看文件属性,发现rdb文件被设置为不可删除状态。使用chattr命令解除文件的i属性后成功删除,并清除计划任务,重启Redis,防止恶意行为再次发生。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

从未在Linuxxito系统上排查过木马,今天遇到了,记录一下。

首先发现redis里的数据被篡改了,并且 crontab -l 查看计划任务,发现root用户多了像wget,curl这样访问外部链接的东西,然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件,还有.swm,swo文件???

打开其中的一个rdb文件,又发现了是在远程下载一个sh文件,怀疑这可能是利用了redis的某个漏洞,创建计划任务,远程下载恶意脚本执行,

好,那先删除这个计划任务吧。

首先 crontab -r 提示“不允许的操作”,我是root用户都没有权限么?又试了试rm /var/spool/cron/tempxxxx.rdb还是提示,没有权限。。。。明明所有者是root用户,root还不能删除root的文件??什么道理?百度了许久,终于找到了答案,这个家伙肯定是修改了文件的属性,lsattr看一下,果然每个rdb文件都是--------i-------这样类型的,这种文件不能被删除,也不能被重命名

A:即Atime,告诉系统不要修改对这个文件的最后访问时间。

S:即Sync,一旦应用程序对这个文件执行了写操作,使系统立刻把修改的结果写到磁盘。

a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值