Linux下简单的木马查杀思路
coderzhouyu2021-07-22 14:30linuxlinux下木马查杀
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07
查杀思路
- 先查看系统中有没有异样的进程
- 找到异常进程之后 kill 掉
- 找到异常进程启动的位置并修复
具体的查杀步骤
先看到阿里云的报警信息
其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼, 不知所措)
然后通过 top 查看运行的进程
发现了异常的进程 network01
kill -9 掉进程发现过一会儿之后又重新启动了 (重新启动应该就是加了定时任务)
果断去看看定时任务
crontab -l果然发现有问题
先删除 这条定时任务
然后再把其他的定时任务文件都看看
ll -d /etc/cron* drwxr-xr-x. 2 root root 21 5月 14 09:12 /etc/cron.d drwxr-xr-x. 2 root root 42 5月 14 09:13 /etc/cron.daily -rw-------. 1 root root 0 4月 11 2018 /etc/cron.deny drwxr-xr-x. 2 root root 22 6月 10 2014 /etc/cron.hourly drwxr-xr-x. 2 root root 6 6月 10 2014 /etc/cron.monthly -rw-r--r--. 1 root root 451 6月 10 2014 /etc/crontab drwxr-xr-x. 2 root root 6 6月 10 2014 /etc/cron.weekly然后考虑下是否有开机自启 去查看
/etc/inid.d下的所有文件,再把rc.d下的文件都看看删掉发现的异常文件
把nexus重新设置一遍
把ssh改成密匙登录
开启服务器的防火墙,然后只开通再用的端口
做完以上的步骤之后 发现服务器已经正常了。(最终如何还不知道 明天在观察看看)
参考资料
查杀过程中到处检索,所幸已经有前辈提供了不少资料