记录一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...进程杀了又起来,文件删了又自动生成,无奈之下只好想了一个怪招,把/bin/bash重命名一下 再查询基础命令是否被掉包: ? 对比下其他在正常服务器的显示如下: ? 怒了有没有!...那就删掉被更改的,从其他同配置服务器拷贝一份。 记的拷贝过来要给予755 权限。 1 ?...注意rm命令也被掉包了,需要更换!...加强自身安全 但是此时还不知道系统入侵的原因,只能从两个方面考虑:暴力破解和系统及服务漏洞 a、yum update 更新系统(特别是bash、openssh和openssl) b、关闭一些不必要的服务
如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例。...接下来根据找到入侵者在服务器上的文件目录,一步一步进行追踪。...6、检查系统中的core文件 通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。...但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询,国家查询的结果是否正常来判断文件是否完整。...LINUX系统中的/etc/crontab也是经常被入侵者利用的一个文件,检查该文件的完整性,可以直接cat /etc/crontab,仔细阅读该文件有没有被入侵者利用来做其他的事情。
今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了 明显是被入侵做为肉鸡了 处理过程 (1)查看登陆的用户...可以看到是被设置ssh免密码登陆了,漏洞就是redis 检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis 删除定时任务文件中的那些内容,重启定时服务 (6)把阿里云中云盾的监控通知项全部选中...(7)配置iptables,严格限制各个端口 总结教训 根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对服务器的安全配置不重视...、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的服务器管理者
作为现代社会的重要基础设施之一,服务器的安全性备受关注。服务器被侵入可能导致严重的数据泄露、系统瘫痪等问题,因此及时排查服务器是否被侵入,成为了保障信息安全的重要环节。...小德将给大家介绍服务器是否被侵入的排查方案,并采取相应措施进行防护。第一步:日志分析服务器日志是排查服务器是否被侵入的重要依据之一。通过分析服务器日志,我们可以查看是否有异常的登录记录、访问记录等。...第三步:漏洞扫描服务器上的软件和应用程序可能存在漏洞,攻击者可以利用这些漏洞进行入侵。因此,定期进行漏洞扫描是排查服务器是否被侵入的重要步骤之一。...一旦发现异常活动,入侵检测系统可以及时发出警报,并采取相应的措施进行防护。第五步:定期备份和恢复无论我们采取了多么严密的安全措施,服务器被攻击的风险始终存在。...上诉是小德总结出来还未被攻击的情况下,因为做的安全准备,下面小德再给大家介绍一下已经被入侵情况下,该做的处理1、服务器保护核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。
我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,...第二次是自习查看每个进程,自习寻找不太正常的进程,发现了一个奇怪的ps进程 5.png 我找了一台正常的机器,查看了一下ps命令的大小,正常的大约是81KB,然后这台机器上面的ps却高达1.2M,命令文件肯定是被替换了...与4月相比,2014年5月Doctor Web公司的技术人员侦测到的Linux恶意软件数量创下了新纪录,六月份这些恶意软件名单中又增加了一系列新的Linux木马,这一新木马家族被命名为Linux.BackDoor.Gates...根据配置文件中的g_iGatsIsFx参数值,木马或主动连接管理服务器,或等待连接:成功安装后,后门程序会检测与其连接的站点的IP地址,之后将站点作为命令服务器。...与命令服务器设置连接后,Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。
Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux
早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%!...1.立即登录该服务器查看CPU top10 ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head 发现 有一个yam开头的进程CPU...已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。...:9090/miner.tgz 885 vi /etc/rc.d/rc.local 886 tar zxvf miner.tgz 887 cd yam-yvg1900-M7v-linux64...-generic 888 cd linux64-generic 889 nohup .
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...strings -f /proc/$PID/environ | cut -f2 -d '' #查看该进程启动时的完整环境变量: > lsof -p $PID #列出该进程所打开的所有文件 检查系统服务 Linux...> cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。
检查系统的异常文件 查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性 > ls -al 查找1天以内被访问过的文件 > find /opt -iname "*"...-atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。
不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。我放下酸菜馅的包子,ssh连了一下,被拒绝了,问了下默认的22端口被封了。...写这个配置,自然也就是利用了redis把缓存内容写入本地文件的漏洞,结果就是用本地的私钥去登陆被写入公钥的服务器了,无需密码就可以登陆,也就是我们文章最开始的/root/.ssh/authorized_keys...好了,配置文件准备好了,就开始利用masscan进行全网扫描redis服务器,寻找肉鸡,注意看这6379就是redis服务器的默认端口,如果你的redis的监听端口是公网IP或是0.0.0.0,并且没有密码保护...由此可以推断,应该是root帐号被暴力破解了,为了验证我的想法,我lastb看了一下,果然有大量的记录: ? 还剩最后一个问题,这个gpg-agentd程序到底是干什么的呢?...1,禁用公网IP监听,包括0.0.0.0 2,使用密码限制访问redis 3,使用较低权限帐号运行redis 到此,整个入侵过程基本分析完了,如果大家对样本有兴趣,也可以自行去curl,或是去虚拟机执行上面的脚本
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...strings -f /proc/$PID/environ | cut -f2 -d '' #查看该进程启动时的完整环境变量: > lsof -p $PID #列出该进程所打开的所有文件 检查系统服务 Linux...cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。
一、检查系统日志 lastb //检查系统错误登陆日志,统计IP重试次数 二、检查系统用户 1、cat /etc/passwd //查看是否有异常的系统用户 2...
服务器托管在外地机房。 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况。 可见流量已经达到了800M左右,肯定不正常!...擦,还有几个,初步判断是工具被替换了。 还有一个怎么叫getty呢,再正常系统里面对比进程,发现没有这个。 宁可错杀一百,也不放过一个! 杀掉进程,删除目录。...如果是XSS攻击,应用层漏洞入侵怎么办? 针对这些问题,从我们公司角度来说,尽量不重装系统,业务太复杂。找出入侵点,跑的程序多,攻击面多,很棘手。 就先这样吧!兵来将挡,水来土掩。...~ 被黑客趁机入侵的原因: 1. 运维对网络安全实施落实力度低 2. 没有相关安全测试人员,不能及时发现应用层漏洞 等等......针对这次攻击,总结了下防护思路: 1. linux系统安装后,启用防火墙,只允许信任源访问指定服务,删除不必要的用户,关闭不必要的服务等。 2.
服务器托管在外地机房。 突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 ? ?...擦,还有几个,初步判断是工具被替换了。 还有一个怎么叫 getty 呢,再正常系统里面对比进程,发现没有这个。估计又是黑客留下的,劳资怒了,宁可错杀一百,也不放过一个! ? 杀掉进程,删除目录。...如果是 XSS 攻击,应用层漏洞入侵怎么办? 针对这些问题,从我们公司角度来说,尽量不重装系统,业务太复杂。找出入侵点,跑的程序多,攻击面多,很棘手。先这样吧!兵来将挡,水来土掩。...让黑客趁机入侵的原因: 运维对网络安全实施落实力度低 没有相关安全测试人员,不能及时发现应用层漏洞 等等… 针对这次攻击,总结了下防护思路: Linux 系统安装后,启用防火墙,只允许信任源访问指定服务...对上线的服务器系统、Web 程序进程安全漏洞扫描。 还是那句话,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能力。 网络安全,从我做起!
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...strings -f /proc/$PID/environ | cut -f2 -d '' #查看该进程启动时的完整环境变量: > lsof -p $PID #列出该进程所打开的所有文件 检查系统服务 Linux...cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。...cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* 原文链接:https://rumenz.com/rumenbiji/linux-hacking
背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。...不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。 我放下酸菜馅的包子,SSH 连了一下,被拒绝了,问了下默认的 22 端口被封了。...结果就是用本地的私钥去登陆被写入公钥的服务器了,无需密码就可以登陆,也就是我们文章最开始的 /root/.ssh/authorized_keys。 登录之后就开始定期执行计划任务,下载脚本。...由此可以推断,应该是 root 帐号被暴力破解了,为了验证我的想法,我 lastb 看了一下,果然有大量的记录: ? 还剩最后一个问题,这个 gpg-agentd 程序到底是干什么的呢?...Redis 禁用公网 IP 监听,包括 0.0.0.0 使用密码限制访问 Redis 使用较低权限帐号运行 Redis 至此,整个入侵过程基本分析完了,如果大家对样本有兴趣,也可以自行去Curl,或是去虚拟机执行上面的脚本
检查系统的异常文件 查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性 > ls -al 查找1天以内被访问过的文件 > find /opt -iname "*" -...atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。...> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 原文链接:https://rumenz.com/rumenbiji/linux-hacking
来源:计算机与网络安全 ID:Computer-network 随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考...背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: ?...2.入侵者可能创建一个新的存放用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件,相关命令示例: ?...11.如果确认机器已经被入侵,重要文件已经被删除,可以尝试找回被删除的文件。 1>当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。...3>当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。
0x00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄...并查看文件创建时间,与入侵时间吻合。 ? 顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下... ? ? 之前还以为是外国人搞的,这应该能证明是国人搞的了... ?...既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是写几条iptables规则吧 iptables -A OUTPUT -o lo -j ACCEPT 允许本机访问本机 iptables...如上图,使用印尼IP爆破成功,而后面服务器内网IP登陆竟然是失败,问了客户,算是明白了怎么回事,他们年底加设备,给服务器临时改了弱密码方便各种第三方技术人员调试,然后估计忘了改回来,结果悲剧了,被坏人登陆了不说...坏人的操作过程基本就在这里了,他执行了好多脚本,谁知道他干了多少事,还是建议客户重装系统吧... 0x04 后记 主要还是自己经验尚浅,linux运维玩的不熟,不知道怎么把马儿彻底赶出去...大牛勿喷。
领取专属 10元无门槛券
手把手带您无忧上云