Linux杀不死木马,杀不死进程,自启动进程

最新推荐文章于 2024-06-29 08:47:03 发布
原创 最新推荐文章于 2024-06-29 08:47:03 发布 · 2.5k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux杀不死进程

本文记录了一次清除服务器上顽固木马的过程。由于服务器端口映射公网未更改弱密码,导致服务器被暴力破解并植入木马。文章详细描述了从发现异常、定位木马到彻底清除木马的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux中杀不死进程,杀不死木马,删不掉,自己启动木马

因内网服务器端口映射公网没有修改弱密码,导致暴力破解服务器被挂木马,详细流程如下

1查询操作历史日志

发现日志被删,无法得知他做了什么

2.使用lastb查看登录日志

发现它用各种账号尝试破解

3.top查看系统资源

发现CPU占用超高,怀疑被挂马进行挖矿

第一个进程CPU占用超高,而且名字可疑,

ps -ef |grep pid 找到文件路径将其删除,并且kill掉此进程

再次top查看发现一个不同名新的进程在跑,也生成了相应的文件

尝试多次删除,kill -9无果,删一个新建一个,完全杀不死

后面将文件下载到本地想研究下,是个可执行文件,文本编辑器打不开,点击执行,电脑瞬间卡死

想到该进程应该有父进程还在一直建立新的

查出它父进程是1

找出1进程

发现是系统开机自启进程,猜想有个自启动文件在系统启动文件夹下

查找文件件找到了最近修改的

查看文件修改时间

内容如下

大概意思是每十秒执行ExeStart指向的文件

接下来找到该文件 

将其删除

同时删除自启动服务文件

再杀掉进程

发现杀成功了

[网络安全自学篇] 九十三.《Windows黑客编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务)
杨秀璋的专栏
08-15 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术,包括注册表、快速启动目录、计划任务和系统服务,希望对您有所帮助。
Linux应急响应(四):盖茨木马
10-07 597
0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。 0x01 应急场景 ​ 某天,网站管理员发现服务器CPU资源异常,几个异常进程占...
应急响应之linux 排查
最新发布
网络安全
06-29 1528
有招聘需求的可以后台联系运营人员。最近发现一个错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在死马,请找到死马的密码提交 3.死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
如何删除死马
黑锤的博客
11-25 5670
当自己的服务器被别人上传了死马,如何应对呢? 第一个方法就是,重启自己的服务,这样死马就没有了,就会再生成了,毕竟死马是在内存当中的。 第二种方法就是用命令将在内存中的进程删除; kill -9 -1 这个命令可以掉当前用户下面的所有进程,当然就可以把死马掉。 可以使用 ps aux 命令 列出所有进程,找到要掉的进程运用命令: kill pid 就可以了 可以使用...
linux服务器上遇到进程怎么办?
cloudless_sky的博客
03-20 830
结束进程
linux进程
barry的博客
08-13 9821
一个进程的时候,刚,又会换一个进程id继续运行,尝试诸多方法后才知道,该进程有父进程,想结束它,必须先结束它的父进程,总结一下 进程的查看 命令 功能 ps 查看进程 ps a 显示现行终端机下所有的程序,包括其他用户的程序 ps -A 显示所有哦程序 ps c 列出程序时,显示每个程序真正的指令名称,而包含路径,参数或常...
Linux kill端口成功,Linux kill使用某一(tcp/udp)端口的进程
weixin_33132251的博客
05-06 554
用该命令可以找出使用端口的进程。可写脚本监控,停止端口及进程~例如:fuser -n tcp 3306 | psaux | grep 24594 | grep -v "grep"若要将使用该端口的进程kill例如:fuser -k -n tcp 3306usage: fuser [ -a | -s ] [ -n space ] [ -signal ] [ -kimuv ]name ...[ - ]...
linux和windows木马排查思路
qq_40770143的博客
10-23 2516
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查,发现木马进程。 2、procexp....
linux学习课程从入门到精通:Centos8-系统进程管理
Xiadaoanquan123的博客
12-30 951
本人从事IT行业已有十多年,有着丰富的实战经验,总结了大量的学习方法,更是积累了很多的学习资料,很高兴能在这里跟大家交流学习,希望能在这里跟大家共同进步和成长! 全套学习资料移步至公众号【学神来啦】更多学习资料添加扣扣资源群:661308959 本节所讲内容: 10.1 进程概述和ps查看进程工具 10.2 uptime查看系统负载-top动态管理进程 10.3 前后台进程切换-nice进程优先级-screen后台执行命令 10.1 进程概述和ps管理进程 10.1.1 什么是进...
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2708
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,加-n按字符串大小
awd网络攻防赛常用的死马,超强
10-30
以上是死马的代码,pass=R_Hacker. 采用了md5加密。
模拟木马程序自动运行:Linux下的隐蔽攻击技术
weixin_43822401的博客
06-23 805
模拟木马程序自动运行的技术对于攻击者来说是一种常见的手段,它允许他们隐蔽地维持对系统的控制。系统管理员需要保持警惕,定期检查系统的关键部分,以确保没有未授权的自动执行任务或脚本。通过使用工具如rkhunter和crontab的审计功能,可以提高检测和防范这类攻击的能力。请注意,本文中的技术仅供教育目的,切勿用于非法活动。维护网络安全是每个网络公民的责任。
linux 开机自启动linux开机自启动骚操作
赖德发的博客
11-19 1220
linux 如何将一个sh脚本 设置开机自启动,防止停电,必须手动重启服务呢。下面一起来学习下。 # 进入目录 cd /etc/rc.d/init.d # 创建shell 脚本,编辑 touch autoStart.sh vim autoStart.sh 加入需要启动的命令行。 配置开机启动项 chkconfig --add autoStart.sh chkconfig autoStart.sh on 以上是一个最基本的开机启动脚本。 下面举个例子。比如我们需要设置mysql 服务开机自启动。 mys
Linux进程怎么办(kill 失效)
爱喝舒化奶的博客
03-22 5976
最近在维护服务器的时候发现一些进程无法使用 kill -9 pid 或者 killall -u username。并且最奇怪的是进程是出于僵尸状态而是一直显示running也没有保护进程,查了很久才发现进程可能进入了循环。 解决办法: ps auxf|grep '脚本名'|grep -v grep|awk '{print $2}'|xargs kill -9 //其中脚本名也可以换成进程...
一次进程记录
qq_32029605的博客
11-03 526
1. 发现问题: 服务器今天发现遭受木马攻击,疑似挖矿程序植入,cpu一路飙升至99%,导致其他程序异常卡顿。 机智的我上来一个top命令让程序现出原形,结果发现一个dvjj的进程耗尽了资源。 2. 解决问题 接着,查看这个命令是从哪里的启动的,发现没有什么有用的信息。 那我换个方式,根据PID查看此进程的详细信息:ll /proc/19718 Linux在启动一个进程时,系统会在/proc下创建一个以PID命名的文件夹,在该文件夹下会有我们的进程的信息,其中包括一个名为exe的文件即记录了绝对路径
linux网站挂马怎么清除,用shell命令删除网站最新nb挂马的方法与代码
weixin_42309866的博客
05-14 387
# # if(document.cookie.indexOf('helio')==-1){var expires=new Date();expires.setTime(expires.getTime()+1*60*60*1000);document.cookie='helio=Yes;path=/;expires='+expires.toGMTString()# eval(function(p,a...
Windows调用其他应用程序或者正在运行或无法手动进程的方法
doublestarts的专栏
01-15 1176
VC调用运行其他进程使用的方法简例: WinExec(".\\checkMd5.bat", SW_HIDE);    //SW_HIDE 表示运行窗口会显示在界面上 //.\\checkMd5.bat 是和运行程序在相同目录下的可执行程序或者批处理文件;此参数就是需要运行的进程的路径,调用进程等待被调用进程执行结果。 dos命令结束隐藏的进程或无法结束的进程
linux下tomcat的shutdown命令进程
sqlora的专栏
05-13 477
现象 在Linux下执行shutdown.sh 或者 catalina.sh stop,然后查看tomcat进程发现没有完全关闭; 网上查找出来解释:一般造成这种原因是因为项目中有非守护线程的存在(关于守护线程阅读下面文章) java的守护线程与非守护线程 JAVA并发编程——守护线程(Daemon Thread)  两个思路,1、从程序上根本解决。 2、从tomcat上解决 一: 从程序上解决(要求较高,项目底层代码的修改)   在项目中找到对应new Thread的地方setDaemon
掌握HookApi技术:实现防进程实例
给定的标签“hookapi 掉的进程”进一步强调了本文讨论的主题,即通过Hook技术使得特定进程具有抗关闭能力。这通常在游戏防作弊、安全软件、自我保护的恶意软件等领域有着广泛的应用。 #### 压缩包子文件的文件...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flysnownet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值