1客户自己的服务器由于种了***,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.
首先使用命令查看相关连接:netstat -natp ,很明显看到了异常进程getty

lsof -i:35308 对应进程号,然后kill掉.
使用命令 last查看最近登录情况:

其中有异常IP登录:60.28.121.160是天津的IP,而客户是泉州人.初步估计这个可能就是那个***的IP .
使用命令histroy查看是否留下一些操作痕迹.

这个不是客户安装的,所以这个应该就是那个***了,通过find / -name getty 查找到该相关文件 删除 rm或者chmod 000 getty
使用命令top查看实时进程,发现还有一些奇怪的进程:
删除或者去掉执行权限.
以为这样就把***清除干净了,让服务商开启机器,竟然不能开启,因为开启来还会***,于是想到应该是***没清除干净,肯定有其他***会自动生成.将系统启动发现果然又有奇怪的进程,尝试删除几次发现系统启动后又会自动生成.


由于没有网络,不能借助一些网络工具进行***查杀,于是按照服务商的建议进入拯救模式,然后让其去除网络限制.所谓的拯救模式,其实类似PE启动盘一样,进入拯救模式之后:
mount -o exec,barrier=0 /dev/xvda
cd /media/xvda
mount -t proc proc proc/
mount -t sysfs sys sys/
mount -o bind /dev dev/
mount -t devpts pts dev/pts/
chroot /media/xvda /bin/bash
service ssh start 
然后通过服务商去除网络限制,这样就有网络了,首先做到当然是先备份数据了。在备份数据期间也查杀下***.
杀软:CLAMAV 官网地址:http://www.clamav.net/documents/installing-clamav 上面有详细介绍如何安装、使用、升级病毒库,这里就略过了.
安装完软件后,
clamscan -r –bell -i /         //对整个根目录进行扫描,发现有些命令都被替换了.

将***删除就可以了,当然我是备份数据然后重装系统的.(也有用chkrootkit发现这个软件尽然发现不了,所以还是这个CLAMAV比较强大!)

来自 云主机科技互联

转载于:https://blog.51cto.com/chenzm/1705291

一次Linux服务器***查杀经历相关推荐

  1. linux服务器查杀,Linux服务器PHP后门查杀

    shell脚本一句话查找PHP一句话木马 # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval( ...

  2. 阿里云Linux服务器查杀木马经历

    首先执行top指令,发现CPU被一个Bash64进程给占满了. top 尝试使用kill命令杀死进程,发现会自动出现一个新的Bash64进程. kill -9 14692 查看定时任务 crontab ...

  3. linux检测病毒工具,Linux下查杀病毒工具

    top: 0px; margin-bottom: 16px; color: rgb(44, 44, 44); line-height: 28px; text-align: justify; word- ...

  4. Linux系统查杀webshell

    系统版本win7旗舰版sp1 软件版本:dokansetup-1.0.5.1000.exe:winsshfs-1.6.1.13-devel.msi:D盾牌:2.1.6.1. 下载链接:https:// ...

  5. 记几次被恶意挖矿程序占满linux服务器cpu的经历

    过程一: 1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9  pid 杀 ...

  6. Linux下查杀病毒

    1.对虚拟机执行快照(或者备份重要文件) 2.下载杀毒软件 wget http://pkgs.repoforge.org/clamav/clamav-0.98-2.el5.rf.x86_64.rpm ...

  7. linux服务器查配置信息失败,查看Linux服务器的配置信息

    一.目标 查看服务器的相关配置,例如服务器的品牌,CPU,内存,磁盘等等信息 二.环境 1.浪潮物理机 2.系统centos 三.相关查询 1. 查看操作系统的版本 命令:cat /etc/redha ...

  8. linux后门查杀工具付费,查杀linux后门跑虚拟货币程序.md

    ## 缘由 某台服务器CPU异常, 4核心CPU使用 3个核心 使用top 查看看不到那个程序使用了CPU ### 分析 1. top 命令后输入小写c 看到一个命令在使用CPU 杀掉后马上又起来了, ...

  9. linux 杀毒软件查杀结果,Linux杀毒软件(ClamAV)

    Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包.主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库. 1.软件安装 [root@node3 ~]# yum instal ...

最新文章

  1. 怎么申请 bing api key
  2. mpp 项目管理文件 打开方法
  3. 论面向组合子程序设计方法 之 创世纪
  4. analyze table tablename
  5. 如何用四个月搞定java?
  6. toString()
  7. leetcodeT14-最长公共前缀(两种解法+图解)
  8. SAP License:ERP面试记
  9. Citrix 修复严重漏洞,可导致 XenMobile Server 遭接管
  10. 最小值最大化问题(贪心系列)
  11. 量化投资理论文献综述
  12. 黑苹果鼠标不动_MacOS系统:解决黑果睡眠唤醒后假死问题(如键盘鼠标无反应等)...
  13. 每日一练-游戏通关时间最短
  14. linux -第一式(终端开启键盘背光)
  15. Vue3答题问卷H5实战
  16. S7-300/400 PLC 模拟量输入/输出的量程转换
  17. Serverless 可观测性的过去、现在与未来
  18. 2021超级好玩的VR游戏推荐,玩了还想玩
  19. 相对于java,C++中的那些神奇语法
  20. 离线数仓-01-项目介绍和用户行为数据采集

热门文章

  1. php 下载表格文件在哪里,PHPExcel强大之处在哪里?
  2. Excel宏的自动运行设置
  3. [Ext JS 4] 实战之 ComboBox 和 DateField 的点击事件在IE下失效
  4. linux开源镜像站 目录帮助,LinuxEye开源镜像站运营
  5. dz mysql导出shell_mysql数据备份并导入数据库shell脚本
  6. php 辅助函数,辅助函数 - Laravel 5.8 中文文档手册 - php中文网手册
  7. sequelize 外键关联_用Sequelize计算关联条目
  8. centos7.2编译php,CentOS7.2编译安装PHP7.2.3之史上最详细步骤。
  9. php7 runkit,runkit - PHP 7 中文文档
  10. 怎么添加本地音乐_编辑视频如何添加本地音乐?原来方法这么简单,用手机就能制作...