Linux下手动查杀木马过程

最新推荐文章于 2024-10-09 17:42:05 发布
最新推荐文章于 2024-10-09 17:42:05 发布
阅读量892 收藏 1
点赞数
文章标签: linux shell 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46369755/article/details/104748937
版权
本文介绍了Linux系统中rootkit的典型代表Adore-ng,包括其功能和使用方法,如提权和隐藏进程、文件。通过实战演示了如何使用Adore-ng进行ava提权,隐藏木马程序及其文件,强调了在进程找不到时,可以通过查找新文件来分析潜在的后门。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)

1.1Rootkit概述

Rootkit概述:Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。我们接下来讲介绍 adore-ng (rootkit其中一种)的使用方法。 注:adore [əˈdɔ:®] 崇拜
adore-ng可以在linux系统下实现:提权,隐藏进程号,隐藏文件等功能
官网:https://github.com/trimpsyw/adore-ng
在这里插入图片描述

1.2实战-通过rootkit隐蔽行踪

实战背景: 当黑客已经上传了木马-》获得普通权限-》提权成root -》现在开始使用rootkit隐蔽行踪。

1、安装adore-ng

上传adore-ng-master.zip到linux系统上

root@xinsz08-1 yum.repos.d]# rpm  -ivh /mnt/Packages/kernel-devel-2.6.32-431.el6.x86_64.rpm  #安装依赖包
[root@zmedu63 ~]# unzip adore-ng-master.zip
[root@zmedu63 ~]# cd adore-ng-master 
[root@zmedu63 adore-ng-master]# make -j 4            #编译,将源码编译成二进制文件,不需要执行make install 文件
[root@zmedu63 adore-ng-master]# insmod adore-ng.ko   #加载模块。
2、测试,查看帮助:
[root@zmedu63 adore-ng-master]# ./ava 
Usage: ./ava {
   h,u,r,R,i,v,U} [file or PID]

       I print info (secret UID etc)
       h hide file  #隐藏文件
       u unhide file
       r execute as root  #可以提权,以root身份运行程序
       R remove PID forever
       U uninstall adore
       i make PID invisible  #隐藏进程。隐藏你的木马程序
       v make PID visible
实战1:演示ava提权功能
1、准备测试环境

创建一个普通用户于测试。然后在普通用户上,通过ava命令,提权后,以root身份运行一个进程。
提权概述:提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升普通用户的权限以夺得该服务器超级管理员权限。

2、创建一个普通用户
[root@xinsz08-1 ~]# useradd xinsz08
[root@xinsz08-1 ~]# echo 123456 |passwd --stdin xinsz08
最低0.47元/天 解锁文章
Linux系统病毒与木马排查清除方法
InjeProgram的博客
09-20 2064
总结起来,排查和清除Linux系统中的病毒和木马需要一系列综合性的方法和工具。更新系统和软件、使用杀毒软件、分析系统日志、检查可疑文件和进程,并采取适当的清除措施,这些都是保护Linux系统免受恶意软件威胁的重要步骤。尽管Linux上的杀毒软件相对较少,但仍然有一些可用的工具可以帮助您检测和清除病毒和木马。保持系统和软件的最新版本是防御病毒和木马的首要步骤。定期更新您的Linux发行版和安装的软件包,以确保获得最新的安全补丁和修复程序。通过检查系统中的可疑文件和进程,您可以发现潜在的病毒和木马
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
Linux系统木马查杀
Saindy5828的专栏
02-18 1035
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
Linux查杀***经验总结
weixin_34417200的博客
05-23 286
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
Linux下简单的木马查杀
周瑜的博客
02-07 1318
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
LINUX系统病毒查杀木马病毒服务手动删除
08-19
LINUX系统病毒查杀木马病毒服务手动删除 LINUX系统病毒查杀木马病毒服务手动删除是 LINUX 系统管理员必备的技能之一。在这个知识点中,我们将学习如何手动删除系统中的病毒和木马服务。 一、病毒查杀 在 ...
Linux手动查杀木马与Rootkit的实战指南
weixin_43822401的博客
06-23 759
手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
Linux查杀webshell木马的工具.zip
01-05
Linux查杀webshell木马的工具.zip
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2573
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
最新发布
jackhanyuan的博客
10-09 2526
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1662
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 464
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
Linux查杀木马常用命令
nece001的专栏
02-21 1560
先进行检查: 根据top命令查看当前进程,找到可疑进程的进程号和运行的用户 去/proc目录下对应的进程号目录,查看exe文件对应的目录 (今天发现的是pscan2这个木马,启动用户是tel) 着手处理 1、停止用户tel所有进程 #pkill -9 -U tel 2、删除用户tel #userdel tel 其它可能有用的命令 停止名为scanssh的所有进程 #pkill -9 ...
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 482
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 976
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
linux木马查杀工具,【Kali】linux木马查杀
weixin_42516668的博客
05-04 1082
通常系统中木马或者病毒后会有各种各样的特征异常特征:1.网络流量2.异常进程3.消耗资源,如占用CPU、内存、硬盘读写针对异常,使用适当的命令进行排查。这里以网络接口为例流量为例1、查看通信端口查找异常通信的端口、IP,并记录PID和program namenetstat -anonetstat -tnpl掌握lsof、ps命令2、确定进程路径Linux在启动一个进程时,系统会在/proc下创建一...
Linux手动查杀木马
菜鸟、上路
08-25 7153
一、 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab;开机启动;系统命令被替换,使用命令后被触发。 1、 生成木马程序病原体 [root@xuegod120 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值