一次Linux服务器***查杀经历
1客户自己的服务器由于种了***,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.
首先使用命令查看相关连接:netstat -natp ,很明显看到了异常进程getty
lsof -i:35308 对应进程号,然后kill掉.
使用命令 last查看最近登录情况:
其中有异常IP登录:60.28.121.160是天津的IP,而客户是泉州人.初步估计这个可能就是那个***的IP .
使用命令histroy查看是否留下一些操作痕迹.
这个不是客户安装的,所以这个应该就是那个***了,通过find / -name getty 查找到该相关文件 删除 rm或者chmod 000 getty
使用命令top查看实时进程,发现还有一些奇怪的进程:
删除或者去掉执行权限.
以为这样就把***清除干净了,让服务商开启机器,竟然不能开启,因为开启来还会***,于是想到应该是***没清除干净,肯定有其他***会自动生成.将系统启动发现果然又有奇怪的进程,尝试删除几次发现系统启动后又会自动生成.
由于没有网络,不能借助一些网络工具进行***查杀,于是按照服务商的建议进入拯救模式,然后让其去除网络限制.所谓的拯救模式,其实类似PE启动盘一样,进入拯救模式之后:
mount -o exec,barrier=0 /dev/xvda
cd /media/xvda
mount -t proc proc proc/
mount -t sysfs sys sys/
mount -o bind /dev dev/
mount -t devpts pts dev/pts/
chroot /media/xvda /bin/bash
service ssh start
然后通过服务商去除网络限制,这样就有网络了,首先做到当然是先备份数据了。在备份数据期间也查杀下***.
杀软:CLAMAV 官网地址:http://www.clamav.net/documents/installing-clamav 上面有详细介绍如何安装、使用、升级病毒库,这里就略过了.
安装完软件后,
clamscan -r –bell -i / //对整个根目录进行扫描,发现有些命令都被替换了.
将***删除就可以了,当然我是备份数据然后重装系统的.(也有用chkrootkit发现这个软件尽然发现不了,所以还是这个CLAMAV比较强大!)
来自 云主机科技互联
转载于:https://blog.51cto.com/chenzm/1705291
一次Linux服务器***查杀经历相关推荐
- linux服务器查杀,Linux服务器PHP后门查杀
shell脚本一句话查找PHP一句话木马 # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval( ...
- 阿里云Linux服务器查杀木马经历
首先执行top指令,发现CPU被一个Bash64进程给占满了. top 尝试使用kill命令杀死进程,发现会自动出现一个新的Bash64进程. kill -9 14692 查看定时任务 crontab ...
- linux检测病毒工具,Linux下查杀病毒工具
top: 0px; margin-bottom: 16px; color: rgb(44, 44, 44); line-height: 28px; text-align: justify; word- ...
- Linux系统查杀webshell
系统版本win7旗舰版sp1 软件版本:dokansetup-1.0.5.1000.exe:winsshfs-1.6.1.13-devel.msi:D盾牌:2.1.6.1. 下载链接:https:// ...
- 记几次被恶意挖矿程序占满linux服务器cpu的经历
过程一: 1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀 ...
- Linux下查杀病毒
1.对虚拟机执行快照(或者备份重要文件) 2.下载杀毒软件 wget http://pkgs.repoforge.org/clamav/clamav-0.98-2.el5.rf.x86_64.rpm ...
- linux服务器查配置信息失败,查看Linux服务器的配置信息
一.目标 查看服务器的相关配置,例如服务器的品牌,CPU,内存,磁盘等等信息 二.环境 1.浪潮物理机 2.系统centos 三.相关查询 1. 查看操作系统的版本 命令:cat /etc/redha ...
- linux后门查杀工具付费,查杀linux后门跑虚拟货币程序.md
## 缘由 某台服务器CPU异常, 4核心CPU使用 3个核心 使用top 查看看不到那个程序使用了CPU ### 分析 1. top 命令后输入小写c 看到一个命令在使用CPU 杀掉后马上又起来了, ...
- linux 杀毒软件查杀结果,Linux杀毒软件(ClamAV)
Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包.主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库. 1.软件安装 [root@node3 ~]# yum instal ...
最新文章
- 怎么申请 bing api key
- mpp 项目管理文件 打开方法
- 论面向组合子程序设计方法 之 创世纪
- analyze table tablename
- 如何用四个月搞定java?
- toString()
- leetcodeT14-最长公共前缀(两种解法+图解)
- SAP License:ERP面试记
- Citrix 修复严重漏洞,可导致 XenMobile Server 遭接管
- 最小值最大化问题(贪心系列)
- 量化投资理论文献综述
- 黑苹果鼠标不动_MacOS系统:解决黑果睡眠唤醒后假死问题(如键盘鼠标无反应等)...
- 每日一练-游戏通关时间最短
- linux -第一式(终端开启键盘背光)
- Vue3答题问卷H5实战
- S7-300/400 PLC 模拟量输入/输出的量程转换
- Serverless 可观测性的过去、现在与未来
- 2021超级好玩的VR游戏推荐,玩了还想玩
- 相对于java,C++中的那些神奇语法
- 离线数仓-01-项目介绍和用户行为数据采集
热门文章
- php 下载表格文件在哪里,PHPExcel强大之处在哪里?
- Excel宏的自动运行设置
- [Ext JS 4] 实战之 ComboBox 和 DateField 的点击事件在IE下失效
- linux开源镜像站 目录帮助,LinuxEye开源镜像站运营
- dz mysql导出shell_mysql数据备份并导入数据库shell脚本
- php 辅助函数,辅助函数 - Laravel 5.8 中文文档手册 - php中文网手册
- sequelize 外键关联_用Sequelize计算关联条目
- centos7.2编译php,CentOS7.2编译安装PHP7.2.3之史上最详细步骤。
- php7 runkit,runkit - PHP 7 中文文档
- 怎么添加本地音乐_编辑视频如何添加本地音乐?原来方法这么简单,用手机就能制作...