linux被植入木马排查思路

news2024/11/23 7:20:13

linux被植入木马排查思路

一、是否侵入检查

1)检查系统登录日志 last命令

2)检查系统用户

1、检查是否有异常用户  cat /etc/passwd

2、查看是否产生了新用户、uid和gid为0的用户 grep "0" /etc/passwd

3、查看passwd的修改时间,判断是否在不知情的情况下被添加用户 ls -l /etc/passwd

4、查看是否有特权用户 awk -F: '$3==0 {print $1}' /etc/passwd

3)检查异常进程

1、注意UID为0的进程

2、查看该进程打开的端口和文件 lsof -p pid

3、查看隐藏进程  ps -ef | awk '{print }' | sort -n | uniq >1

ls /porc |sort -n|uniq >2

diff 1 2

4、查看连接 netstat -a

4)检查异常文件

1、查看一定时间内文件的情况 find / -name "*" -type f -newermt '2022-08-25 00:00:00' ! -newermt '2022-08-25 23:59:59'

2、查看tomcat、nginx的比较大的.jsp .htm文件 find /目录 -name .jsp -o -size +10000k

3、查看tmp文件夹下有没有异常文件 扫描记录

5)检查系统文件完整性

1、rpm –qf /bin/ls

2、rpm -qf /bin/login

3、d5sum –b 文件名

4、md5sum –t 文件名

6)检查网络

1、ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)

2、netstat –nap(察看不正常打开的TCP/UDP端口)

7)检查系统定时任务 crontab -l

8)检查系统启动命令 cat /etc/rc.d/rc.local

9)检查系统服务 chkconfig -list

10) upload 文件

11)*.ico 文件 内存码

12)登陆权限 公钥查看 rsa

13)横向扫描命令记录 fscan

二、本次异常的解决思路

先检查是否有异常用户 发现有一个uid和gid都为0的用户,这是有了root的权限,是不正常的

然后我们就查看用户登录的日志

在相应的文件里把tomcat2用户添加的内容删除 /etc/shadow /etc/group ,异常用户直接锁定

usermod -L

查看该用户的操

查看python进程

发现都是异常用户做的,可以直接kill掉 异常的进程也直接kill掉

查看了/tmp 下 发现有异常的文件 mysqld 直接删除 扫描tomcat出来的异常的jsp js文件在备份后直接删除

异常的压缩包也可以删除

最后修改root密码为复杂密码

还可以安装杀毒软件去进行扫描

rpm安装 clamav

https://www.clamav.net/download.html 去官网下载rpm包

groupadd clamav useradd -g clamav clamav 先添加组成员

rpm -ivh clamav-0.105.rpm 二进制安装

安装成功的标志是 clamscan --version

目前还不可以正常使用 需要安装病毒库

1、cd /usr/local/etc

2、freshclam.conf.sample freshclam.conf

3、vim freshclam.conf 将Example注释

4、chmod 777 /usr/local/share/clamav 授予权限

5、输入freshclam 安装病毒库

使用:

clamscan -r -i /etc --max-dir-recursion=4 > /var/log/clamav-etc-20220815.log

扫描出的木马

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2056190.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

CY7C68000 实现High Speed USB2 UART

已经在Malogic PFGA Board 上用CY7C68000 实现High Speed USB2UART,店铺还上架了 ULPI (USB3300)的 TestBench 和ModelSim 验证环境,刚刚写出来的,其实效果和UTMI差不多, 比UTMI麻烦一些,需要写…

k8s篇之kubectl安装命令自动补全插件

1. 简介 常见情况:在部署生产环境或者测试环境的k8s集群时,常因输入命令繁琐,使得执行相关k8s操作排错时麻烦,以下自动补全插件即可解决这一问题。 以下安装亲测有效 2. 安装 安装bash completion yum install -y bash-comple…

车载以太网交换机入门基本功(3)—VLAN 转发

在《车载以太网交换机入门基本功(2)》中提到,报文通过携带Tag字段,表明报文所属的VLAN。本文将介绍携带Tag报文在VLAN下的转发过程。而在实际转发过程中,交换机的端口属性起到关键作用。 交换机端口属性 交换机的端口…

计算机毕业设计选题推荐-地震数据分析与预测-Python爬虫可视化

✨作者主页:IT研究室✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…

Java语言程序设计——篇十五(2)

🌿🌿🌿跟随博主脚步,从这里开始→博主主页🌿🌿🌿 欢迎大家:这里是我的学习笔记、总结知识的地方,喜欢的话请三连,有问题可以私信🌳🌳&…

如何在C++ QT 程序中集成cef3开源浏览器组件去显示网页?

目录 1、问题描述 2、为什么选择cef3浏览器组件 3、cef3组件的介绍与下载 4、将cef3组件封装成sdk 5、如何使用cef3组件加载web页面 5.1、了解CefApp与CefClient 5.2、初始化与消息循环 5.3、如何创建浏览器 5.4、重载CefClient类 6、在qt客户端集成cef组件 7、最后…

国内外大模型汇总:Open AI大模型、Google大模型、Microsoft大模型、文心一言大模型、通义千问大模型、字节豆包大模型、智普清言大模型

Open AI大模型 特点: 多模态能力:如GPT-4o,能接受文本、音频、图像作为组合输入,并生成任意形式的输出。 情感识别与回应:具备情感识别能力,能根据对话者的情绪做出有感情的回应。 几乎无延迟&#xff…

python中sum是什么意思

在开发语言中,sum函数是求和函数,用于求多个数据的和。而在python中,虽然也是求和函数,但稍微有些差别,sum()传入的参数得是可迭代对象(比如列表就是一个可迭代对象),返回这个被传入…

webflux源码解析(3)-reactor netty

目录 1.连接的状态2.reactor netty中的连接状态3. webflux中的io处理4.总结 为什么webflux在io密集型的场景能有效的提升系统吞吐量呢? 是因为它使用的是响应式编程,使用的是NIO,但这里的响应式、nio到底是怎么样的呢?响应式编程上…

自动化智能立体库验收报告

导语 大家好,我是社长,老K。专注分享智能制造和智能仓储物流等内容。 新书《智能物流系统构成与技术实践》 这份文件是一份关于自动化智能立体库的验收报告,它包含了以下几个核心部分: 到货验收表:列出了自动化智能立体…

dubbo:dubbo整合nacos实现服务注册中心、配置中心(二)

文章目录 0. 引言1. nacos简介及安装2. 注册中心实现3. 配置中心实现4. 源码5. 总结 0. 引言 之前我们讲解的是dubbozookeeper体系来实现微服务框架,但相对zookeeper很多企业在使用nacos, 并且nacos和dubbo都是阿里出品,所以具备一些天生的契合性&#…

黑神话:悟空四年前就布局商标,多个名称申请全类!

近日黑神话:悟空上线,预售超4亿元,普推知产商标老杨经检索发现,背后的主体游科互动早在三年前就布局商标,申请了多个核心名称的45类全类的商标。 背后的游科互动名下申请了245件商标,其“黑悟空”是2021年申…

如何通过观测云实现AIOps突破?

在当今信息技术迅猛发展的浪潮中,企业正置身于一个日益复杂化的 IT 环境,并面临着数据量的爆炸性增长。智能运维(AIOps),作为 IT 运维管理领域的革新者,融合了大数据和机器学习技术,致力于对 IT…

全场景——(四)Modbus 通讯协议

文章目录 一、学习Modbus的快速方法1.1 寄存器速记1.2 协议速记 二、初识Modbus2.1 背景2.2 什么是Modbus?2.2.1 Modbus简介2.2.2 Modbus特点2.2.3 Modbus常用术语2.2.4 Modbus事务处理 三、Modbus软件与使用3.1 Modbus软件简介3.2 Modbus Poll(主站设备…

鸿蒙HarmonyOS之使用ArkTs语言实现层级树状目录选择UI

一、实现效果 二、实现步骤 代码示例中用到的颜色、图片等资源可以自行替换设置 1、Index.ets 里面调用 import { CategoryView} from ./CategoryView;//主页面 Entry Component struct Index {State tabsIndex: number 0;build() {...//层级目录ViewCategoryView()...} …

AMD和NVIDIA一起挤牙膏,新显卡性能反而降低

红厂 AMD 因为新品锐龙 9000 CPU,在这两天算是赚足了眼球和关注度。 在两周的延迟后,高端 R9 系列终于是端上来了,R9-9900X 和 R9-9950X,核心规模和最高加速频率与上代保持不变,基础频率略有降低。 国行售价分别为 339…

FFmpeg的入门实践系列一

欢迎诸位来阅读在下的博文~ 在这里,在下会不定期发表一些浅薄的知识和经验,望诸位能与在下多多交流,共同努力! 江山如画,客心如若,欢迎到访,一展风采 文章目录 参考环境本系列的适用人群FFmpeg的简介FFmpeg…

【等保测评】Ngnix模拟测评

一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 结果记录:此项不适用,Nginx无独立的登录管理界面,身份鉴别由操作系统层面实现 b)应具有登…

基于linux下的mplayer播放器项目

项目名称:基于MPlayer的C语言控制接口 版本:1.0 1. 项目概述 本项目旨在设计一个基于MPlayer的简单C语言控制接口,提供用户与媒体播放器的交互功能。用户可以通过文本菜单选择不同的操作,如播放、暂停、停止、调整播放速度、跳…

MySql 高阶二(SQL 性能分析)

SQL 性能分析: 查看当前数据库的 增删改查的使用情况 show global status like Com_______;慢查询日志: -- 查看状态 show variables like slow_query_log目前是开启状态。如何开启,编辑my.cnf 文件 添加下面的语句,编辑完成后…