如何处理linux恶意程序

如何处理linux恶意程序


一、准备实验环境SYN洪水攻击

一台Windows Server 2003做控制端、一台linux服务器做被控制端(肉机),使用软件如下:
如何处理linux恶意程序_第1张图片
点击生成器输入控制端的IP生成木马文件txma,10771是控制监控程序,如果有被控制端上线立马可以在控制台发现,将txma上传到linux服务器,设置可执行权限并运行此木马,结果如下:
被控制端:将txma上传到linux服务器,设置可执行权限并运行此木马
如何处理linux恶意程序_第2张图片
注意 id是闲置的cpu
控制端:有肉机上线发起攻击设置攻击的服务器ip和端口
如何处理linux恶意程序_第3张图片

二、肉机上线发现清除木马进程
  • top 命令
    如何处理linux恶意程序_第4张图片
    可以发现id是0 CPU可用是0,有个进程txma PID 2187使用的CPU过多异常情况
    可以使用killall tama 或者 kill -9 2187
  • netstat -natp 命令
    如何处理linux恶意程序_第5张图片
    可以发现linux服务器开启一个本地异常端口连接另一个IP的端口
    此时也能确认PID是2187,可以使用kill -9 2187
  • 清除木马文件
[root@k8s-master ~]# find / -name "*txma*"  
/root/txma  
/usr/bin/txma  
/usr/local/bin/txma  
[root@k8s-master ~]#   

查到木马文件进行删除

三、清除木马自动复活点
  • 使用crontab计划任务复活木马
    crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的
    cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行
  • 系统自启动复活木马
    在/etc/rc.local 文件中添加木马启动命令,这个文件在开机后会执行
  • 一些自动加载的文件复活木马
    /etc/profile #所有用户登录系统时自动执行此文件,木马复活下载运行可以放到这里;
    .bash_profile用户家目录下面的 #当前此用户登录系统会执行,木马复活下载运行可以放到这里 ;
    /etc/bashrc #所有子shell都会执行此文件,木马复活下载运行可以放到这里 ;
    .bashrc 用户家目录下面的 #当前此用户子shell会执行,木马复活下载运行可以放到这里 ;
    注意文件的扩展属性:
    chattr +i 文件名 #文件只读
    lsattr #查看
  • rootkit后门复活木马
    rootkit后门是用户执行常用的命令时候,复活木马程序,此时系统命令被感染。
    一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令
    例如:
    cat txma /usr/bin/ps >> ps1
    which ps 把ps1 软连到ps
四、 断木马下载的后路

linux系统不安装下载的命令 例如:curl wget等

五、删除木马创建的用户

userdel -r 用户名 #如果删除不了是因为此用户有运行的进程,需要kill此用户的所运行的进程

六、添加微信公众号一起进步

资料下载 https://download.csdn.net/download/qq_31555951/12162212

你可能感兴趣的:(linux,linux,运维,服务器)