linux中Linux.BackDoor.Gates.5病毒处理办法

最新推荐文章于 2025-05-26 20:52:44 发布
最新推荐文章于 2025-05-26 20:52:44 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37797316/article/details/89318493
本文详细描述了因系统弱口令导致的病毒入侵现象,包括CPU异常升高及难以终止的进程。针对黑客利用chattr修改目录权限的问题,介绍了使用clamscan杀毒软件查找并手动删除感染文件的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题原因:系统弱口令(密码太简单,被暴力破解)
问题现象:
1.cpu异常高,且进程kill不掉,
2.root登陆系统在root、/tmp、/dev/shm目录下执行ls -ltrh

-rwxrwxrwx 1 oracle oinstall      4 Mar 19 05:40 gates.lod

出现以上lod结尾,基本上就是中招了。
在网上查了很多资料,也用其中的方法进行处理,基本上没有解决,因为处理办法基本上都是要阻断外网,由于此次设备的特殊性没有内网口也没有管理口,所以断外网操作基本上不可能。所以只能用杀毒软件clamscan,将感染的病毒找出来,手动删除(怕用软件删除,会出问题所以建议把感染文件找出来删除),我在处理过程黑客用chattr把我/var/log/目录下的权限改了,导致我不能再此目录做任何操作(此处注意下就可以了),由于clamscan杀毒软件操作都有,我就不重复造轮子了,我把对我有帮助的连接贴上来,大家看看就可以了。
https://www.cnblogs.com/dannylinux/articles/7978452.html(clamscan用法)
https://segmentfault.com/a/1190000010631881

linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1386
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
针对 Linux SSH 服务器的新攻击:Supershell 恶意软件危害易受攻击的系统
网络研究观
09-22 685
该后门使攻击者能够远程控制受感染的系统。 初次感染后,黑客启动扫描仪来寻找其他易受攻击的目标。 据信这些攻击是使用从已受感染的服务器获取的密码字典进行的。
记一次入侵Linux服务器和删除木马程序的经历(Linux.BackDoor.Gates.5)
qq:489366879
05-27 775
一、背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。 二、发现并追踪处理 ...
Linux后门应急(超详细)
最新发布
yulin0305的博客
05-26 338
backdoor:x:0:0:root:/root:/bin/bash“这个用户名为“backdoor”,UID和GID都是0,和root用户一样,家目录是`/root`,shell是`/bin/bash`因为普通用户不应该有UID 0,并且家目录也不应该在`/root`下。5.給出使用了/bin/bash 的RCE後門進程名稱+端口號,如進程名稱為ssh鬥,端口號為22,則flag{sshd22}通过 -v /:/mnt,容器内可直接修改宿主机文件(如/etc/passwd、/root/.ssh等)。
Linux服务器下Linux.BackDoor.Gates.5病毒的简单处理方法
weixin_33950035的博客
08-12 792
今年年初的时候,公司负责的项目有相当一批Linux服务器,被病毒侵袭了。。有的人可能会问了,Linux也能被感染病毒?呵呵,答案是可以的。 任何服务器只要把Root或者Administrator权限泄露出去了,对于Hacker来说就拥有无限可能,要知道Hacker就是高级的程序员,呵呵。 记录这篇文章的目的,并不是说按照这篇文章的描述方法...
记一次linuxLinux.BackDoor.Gates.5 ******
weixin_33743703的博客
03-17 213
通过访问日志分析 是 通过struts2的漏洞,进入服务器,种植***的具体看以下参考连接,后续补上详细过程参考连接http://blog.csdn.net/xishuang_gongzi/article/details/49510413http://zhuanlan.51cto.com/art/201703/534751.htm 转载于:https://bl...
Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent(Linux.BackDoor.Gates.5)木马清理
热门推荐
xishuang_gongzi的专栏
10-30 1万+
一、现象 Linux服务器被黑, 向外疯狂发包,造成网络瘫痪。nload显示100Mbit/s。(nload统计流量软件) 二、木马扫描 1、ClamAV介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
SeayFindShell( linux-python-killwebshell.zip_backdoor_cleariwf_m
09-15
5. **日志记录**:为了方便追踪和审计,SeayFindShell会生成详细的扫描日志,记录下所有检测到的Webshell和处理过程,这对于后续的安全分析和问题定位至关重要。 6. **灵活性**:用户可以通过自定义配置文件来调整...
Diamorphine:Linux Kernels 2.6.x3.x4.x5.x(x86x86_64和ARM64)的LKM rootkit
01-31
Diamorphine:Linux Kernels 2.6.x3.x4.x5.x(x86x86_64和ARM64)的LKM rootkit
Backdoor.Win32.Rbot病毒专杀
02-17
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理
liukeforever的专栏
08-14 1万+
被黑后, 向外疯狂发包,造成网络瘫痪
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 1118
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Linux服务器中木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 5038
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
linux 系统留后门方法+日志清除
收集盒 Book box
11-28 1696
1. setuid  #cp /bin/sh /tmp/.sh  #chmod u+s /tmp/.sh  加上 suid 位到shell上,虽然很简单,但容易被发现  2. echo "hack::0:0::/:/bin/csh" >> /etc/passwd  即给系统增加一个 id 为 0(root)的帐号,无口令。  但管理员很快就可以发现哦!  3.echo "
linux服务器防木马,三次Linux服务器被入侵和删除木马程序的经历
weixin_33940733的博客
04-30 303
今天来说说这个木马(Linux.BackDoor.Gates.5),很是烦人,已经中招三次了,这次才找到原因,原来是apache的activemq消息队列的漏洞导致,有个致命漏洞,搜索了一下大概漏洞刚出来的时候赏金在3500$, 攻击者通过api在程序默认的webapps目录下面写入了两个jsp文件, 也是大意没有把默认的程序删除,以此谨记。哪知下午也中招,其实作者写的过程很详细,但是我感觉有些瑕...
monitor_control.restrict_backdoor
09-17
monitor_control.restrict_backdoor是一种监控控制功能,用于限制后门的存在和使用。 在计算机系统中,后门是指由开发人员或黑客留下的一种隐藏程序或功能,可以绕过正常的安全认证和访问控制,从而非法进入系统或获取敏感信息。后门可能会对系统安全性和用户隐私造成严重威胁。 为了防止后门的存在和滥用,monitor_control.restrict_backdoor功能被引入。这个功能可以在系统层面进行控制,限制和监控对后门的访问。具体而言,该功能可以检测并阻止未经授权的后门访问,包括识别并拦截恶意程序或恶意活动。通过对后门的监控和限制,该功能可以提高系统的安全性和防御能力。 monitor_control.restrict_backdoor通过以下几个方面来实现对后门的限制: 1. 检测:该功能可以监测系统中的所有后门,并实时地进行识别和检查。这样可以及时发现后门的存在,并采取相应的措施。 2. 阻止:一旦发现后门的存在,该功能可以立即采取措施,阻止后门的进一步使用和滥用。这样可以避免后门给系统和用户带来潜在的风险和威胁。 3. 记录:该功能可以对后门的使用进行记录和审计。这样可以追踪后门的创建者和使用者,及时发现和处理潜在的安全问题。 总之,monitor_control.restrict_backdoor是一项重要的系统功能,它可以有效地限制和监控后门的存在和使用。通过加强对后门的检测、阻止和记录,该功能可以提高系统的安全性,并对系统进行全面的保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值