一次大意的木马清除

最新推荐文章于 2025-03-03 11:37:12 发布
最新推荐文章于 2025-03-03 11:37:12 发布
阅读量914 收藏
点赞数
文章标签: 网络安全 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wulanlin/article/details/122431099
版权
本文讲述了作者的朋友遭遇网络攻击的过程,从3389端口扫描、可疑进程定位、定时任务排查到最终清理恶意文件和计划任务。在处理过程中,由于大意,恶意进程反复启动,通过/libudev.so和/hujqsw等IOC进行溯源,发现与DoS、Xorddos攻击相关。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

起因

我有一个朋友。。。

image.png

image.png

过程

按照这个密码,我觉得90%的可能是被爆破了。随即登录进行排查。

1. 登录行为定位
通过history发现在扫描全网3389:

image.png


看到此处使用yum安装了masscan,果断查看yum日志。

image.png


发现了时间点,通过此时间点对登录者进行定位。

image.png


118.70.52.167 越南 河内 河内市

最低0.47元/天 解锁文章
wulanlin
关注
MasScan最快的端口扫描工具
liubulong的博客
10-09 870
masscan高效扫描端口工具
Linuxmasscan工具安装和使用
月生的静心苑
07-01 1685
  Masscan是一款快速、高效且开源的端口扫描工具,被广泛用于网络安全领域。它的设计目标是实现极高的扫描速度,使其能够在极短的时间内扫描整个互联网的IPv4地址空间。以下是masscan的主要特性和功能:  随着《网络安全法》的出台,在使用Masscan时,用户应当遵循法律和道德规范,仅在有授权的范围内使用该工具。非法和未授权的端口扫描活动是违法的,并可能导致法律责任。通过合理利用其强大的功能和灵活的配置,安全专家可以有效地进行网络探测和安全评估工作。
masscan_linux
11-28
如果搞安全的,linux下应该比较好安装masscan。但是还是把资源放上来,希望 有需要的同学可以下载使用。
Masscan下载Linux安装
最新发布
weixin_43886221的博客
03-03 489
对于一些Linux发行版,你可以直接使用系统的包管理器来安装 `masscan`。`masscan` 是一款高速的端口扫描工具,能够在极短的时间内扫描大量IP地址和端口。以下是关于如何在Linux系统上下载并安装 `masscan` 的详细步骤。如果你需要最新版本或你的发行版没有提供 `masscan` 包,你可以从源码编译安装。希望这些步骤能帮助你在Linux系统上顺利安装和配置 `masscan`。# 对于CentOS/RHEL。# 对于CentOS/RHEL。#### 2. 获取源代码。
小白被挖矿木马整emo的一天
A_991128a的博客
02-20 787
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。kswapd0占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0,而是木马程序伪装的[kswapd0],专门骗我这种小白)可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349cpu降下来了。。。
项目五linux 内网完整渗透测试实例笔记
qq_56426046的博客
01-29 2164
本靶场存在三个 flag 把下载到的虚拟机环境导入到虚拟机,本靶场需要把网络环境配置好。在 wdcp 生成秘钥保存下来 在 kali 设置权限 600你知道什么叫幸福嘛?幸福就是拍拍手。
如何清除Windows木马?
qq_49283465的博客
04-19 3167
应急响应--干掉木马Windows账户检查日志查看最近文档注册表启动项计划任务Dns污染端口、进程检查杂项 Windows 别碰我,呀~~~ 账户检查 先看有没有开小号 net user 查看用户,管理 本地用户和组用户 net user username 查看用户登录情况 lusrmgr.msc 打开本地用户组–window 10以下版本 日志查看 看一下对方干了什么,但一个优秀的入侵者会把日志删掉–此地无银三百两 最近文档 通过查看最近文档,最近数据交互,可以判断自己主机是否真的被入侵了,可能会有临时
特洛伊木马的判断_清除及其防范
03-21
特洛伊木马的传播越来越快,而且新的变种也层出不穷,任何系统漏洞及用户的麻痹大意都是特洛伊木马进入系统的好机会。木马程序具有极大的隐蔽性与欺骗性;检测、清除、防范特洛伊木马入侵是当前提高计算机系统安全性...
一句话木马写入以及通过sql进行服务器的远程控制
weixin_44720762的博客
04-21 1982
在开始之前我想先在这里提醒选择阅读这篇博客的读者。因为本人初涉安全领域知识。关于sql盲注尚处于学习和摸索状态,存在对些许知识点和概念理解尚不清晰甚至是完全偏差的问题。此博客亦是只起到对现所学知识的一个记录。所以只起到一个借鉴的作用,并不建议读者用作专业知识学习。 在演示通过sql进行服务器的远程控制之前,必须首先清除两个基本的概念,也就是一句话木马以及如何通过into_outfile写入代码并控...
网络维护过程中的渗透与反渗透
weixin_34226182的博客
11-12 1243
网络维护过程中的渗透与反渗透 simeon 我的一个朋友告诉我,说他们在访问自己公司网站时,出来一大堆东西,而且杀毒软件还提示网页存在病毒,我的第一感觉就是公司服务器被人入侵了。 (一)网站挂马检测和清除 1.使用软件嗅探被挂马页面 朋友将远程终端和公司网站名称告诉我后,我首先在虚拟机中使用URLSnooper软件对网站进行嗅探,果然网...
KaliLinux-masscan使用详解(全网最快的IP端口扫描神器)
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
03-29 1万+
文章目录简介参数详解使用实例masscan与nmap比较 简介 masscan是一个快速端口扫描器,号称是世界上最快的扫描软件,可以在几分钟内扫描整个互联网端口。(受限于硬件设施、网络带宽等因素,所以并不是说个人电脑几分钟扫描整个互联网,同时扫描整个Imternet的权限归国防部所有,不要轻易扫描互联网,不然请喝茶。) massan的扫描结果与nmap(扫描神器-众神之眼)非常相似,之所以扫描速度比nmap快很多是因为它采用了异步传输、无状态扫描方式(异步传输意味着扫描器在发送探测数据包之后不必等待回复)。
端口扫描神器:Masscan 保姆级教程(附链接)
Flag少侠的博客
02-05 8652
端口扫描神器:Masscan 保姆级教程
端口扫描:masscan+nmap
star的博客
04-26 5777
目录 masscan安装 masscan简单用法 nmap安装 java+masscan+nmap masscan安装 # yum install clang git gcc make libpcap-dev # git clone https://github.com/robertdavidgraham/masscan # cd masscan # make ...
黑客用我们服务器挖矿了
weixin_34007020的博客
03-27 354
新的一天的开始 周五早上刚到公司,同事来问我系统为啥打不开了?我第一反应就是肯定 Nginx 服务器挂了呗,立马就去登录服务器看看,但此时发现已经完全远程登录不上这台部署了 Nginx 和 Redis 的服务器了,此刻心理活动如下: 难道服务器欠费了? 难道服务器到期了? 都不对阿,一起买的一堆服务器就单单这一台有问题,肯定是这台服务器挂了吧? 同事马上登录美团云管理后台看了下,当时我们也猜测...
Epel源下载报错
keisena的博客
02-18 459
解决方案 vi /etc/yum.repos.d/epel.repo [epel] name=Extra Packages for Enterprise Linux 7 - $basearch #baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch failovermet.
Masscan:最快的互联网IP端口扫描器
qq_40907977的博客
05-15 3746
介绍 Masscan号称是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。 masscan的扫描结果类似于nmap(一个很著名的端口扫描器),在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。 安装配置 在Debian/Ubuntu系统中,安装方法如下: $ sudo apt-get install git gcc make libpca
linux 卸载软件命令_如何在Linux中使用命令行卸载软件
cum44153的博客
09-25 1万+
linux 卸载软件命令Linux provides different methods for installing software. You can install software from the standard Ubuntu software repositories using the Ubuntu Software Center, from outside of the stan...
端口扫描:NMAP | Masscan
Zok的博客
09-02 957
NMAP nmap是港口扫描仪的合法王位,而今天仍然是最通用的选择,最早是Linux下的网络扫描和嗅探工具包。可以扫描主机、端口、并且识别端口所对应的协议,以及猜测操作系统 Ping扫描(-sP参数) TCP同步(SYN)端口扫描(-sS参数) TCP connect()端口扫描(-sT参数) UDP端口扫描(-sU参数) 中文官方网 windows 使用 有脚就能用 Kali 使用 Kali 默认已经安装 NMAP #仅扫描主机 nmap -sP 192.168.1.0/24 #进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值