Tech Neo技巧沙龙 | 11月25号，九州云/ZStack与您一路商量云时代收集界线治理实践

一、背景

晚上看到有台办事器流量跑的很高，明显和平常不一样，流量达到了800Mbps，第一感到应当是中木马了，被人当做肉鸡了，在大年夜量发包。

我们的办事器为了最好机能，防火墙(iptables)什么的都没有开启，然则办事器前面有物理防火墙，并且机械都是做的端口映射，也不是常见的端口，按理来说应当是满安然的，可能比来和木马有缘吧，老是让我碰到，也趁此次机会把发明过程记录一下。

二、发明并追踪处理

查看的时刻网页异常卡，有的时刻甚至没有响应

我立时长途登录出问题的办事器，远迟疑作很卡，网卡出去的流量异常大年夜，经由过程top发清楚明了一个异常的过程占用资本比较高，名字不细心看还真认为是一个Web办事过程。

4、停止异常过程并持续追踪

2、top动态查看过程

killall -9 nginx1  
rm -f /etc/nginx1 

干掉落过程之后，流量急速下来了，长途也不卡顿了，难道删掉落法度榜样文件，干掉落异常过程我们就认为处理完成了么?想想也肯定没那么简单的，这个是木马啊，肯定还会本身生检法度榜样文件(不雅然不出我所料，在我没有搞清跋扈之前，后面确切又生成了)我们得持续追查。

经由过程敕令last查看账户登录记录，一切正常。查看体系文件message并没有发明什么，然则当我查看secure文件的时刻发明有些异常，反恰是和认证有关的，应当是测验测验连进来控制发包?

7、更多异常文件的发明

5、查看登录记录及日记文件secure

查看准时义务文件crontab并没有发明什么一次，然后查看体系启动文件rc.local，也没有什么异常，然落后入/etc/init.d目次查看，发明比较奇怪的脚本文件DbSecuritySpt、selinux。

三、木马手动清除

如今综合总结了大年夜概步调如下：

1、简单断定有无木马

#有无下列文件 
cat /etc/rc.d/init.d/selinux 
cat /etc/rc.d/init.d/DbSecuritySpt 
ls /usr/bin/bsd-port 
ls /usr/bin/dpkgd 
#查看大年夜小是否正常 
ls -lh /bin/netstat 
ls -lh /bin/ps 
ls -lh /usr/sbin/lsof 
ls -lh /usr/sbin/ss 

2、上传如下敕令到/root下

ps netstat ss lsof 

1、查看流量图发明问题

3、删除如下目次及文件

rm -rf /usr/bin/dpkgd (ps netstat lsof ss) 
rm -rf /usr/bin/bsd-port #木马法度榜样 
rm -f /usr/bin/.sshd #木马后门 
rm -f /tmp/gates.lod 
rm -f /tmp/moni.lod 
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种法度榜样) 
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt 
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty) 
	
			
 1/2    1 2 下一页 尾页
	
			

　　推荐阅读
　　以计算机视觉为例，告诉你如何将AI引入你的工作
            Tech Neo技巧沙龙 | 11月25号，九州云/ZStack与您一路商量云时代收集界线治理实践
            下面介绍若何开端一个AI营业，这是一次比较科普的演讲，欲望经由过程计算机视觉的一些案例，能带给在座的>>>详细阅读


本文标题：linux 服务器中木马及木马清除
地址：http://www.17bianji.com/lsqh/38979.html
 1/2    1