首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux系统是否植入木马的排查流程梳理

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵?...系统入侵/中毒的表象 比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。...三、顺便说下一次Linux系统入侵/中毒的解决过程 在工作中碰到系统经常卡,而且有时候远程连接不上,从本地以及远程检查一下这个系统,发现有不明的系统进程。 初步判断就是可能中毒了!!!...2)不要使用默认的远程端口,避免扫描到 扫描的人都是根据端口扫描,然后再进行密码扫描,默认的端口往往就是扫描器的对象,他们扫描一个大的IP 段,哪些开放22端口且认为是ssh服务的linux系统,所以才会猜这机器的密码...3)查看这些陌生程序所在路径 查找程序路径: ls /proc/进程号/exe,然后再次kill掉进程,又会生成一个新的进程名,发现路径也是随机在PATH变量的路径中变换,有时在/bin目录,有时在/sbin

8.2K100
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    威胁告警:大量ubnt设备植入后门

    在3月19日,接到某客户网络故障反馈,安恒工程师联系客户后进行远程应急响,在客户的某台设备发现了一些可疑的shell进程. ?...详情见:http://www.wooyun.org/bugs/wooyun-2014-062127 所以黑客还使用了9200端口去植入后门(linux架构的蠕虫) 注意这里攻击的是“Elasticsearch...取证回来的相关的恶意文件后,我们发现了植入ubnt设备的工具是叫“linux命令批量执行工具” ? 这里的植入恶意程序的命令和在与我们在客户设备上见到的是一样的!...推测出整个攻击流程如下: 暴力破解存在弱口令的22端口 调用shell命令植入后门 黑客发送指令到入侵的设备后进行攻击 我们从黑客的扫描后保存的结果来看,大量的ubnt设备存在弱口令,(黑客暴力破解时使用的用户名和密码就是...我们随机尝试了几个设备发现都存在默认弱口令,并且多台设备多次对植入不同URL的蠕虫 初步统计的URL包括过有: ? 并且包含恶意URL不停在变化(备注:并未全部包括!)

    1.6K60

    Linux服务器植入木马挖矿该怎么处理解决

    很多客户网站服务器入侵,攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站篡改,跳转,首页内容替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...首先我们会对当前服务器的IP,以及IP的地址,linux服务器名称,服务器的版本是centos,还是redhat,服务器的当前时间,进行收集并记录到一个txt文档里,接下来再执行下一步,对当前服务器的异常网络连接以及异常的系统进程检查...并对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹...对服务器的启动项进行检查,有些服务器植入木马后门,即使重启服务器也还是攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。...以上就是服务器入侵攻击的检查办法,通过我们SINE安全给出的检查步骤,挨个去检查,就会发现出问题,最重要的是要检查日志,对这些日志要仔细的检查,哪怕一个特征都会导致服务器陷入被黑,攻击的状态,也希望我们的分享能够帮助到更多需要帮助的人

    5.7K30

    Xzliblzma 植入源码级后门

    谁也没想到, Xz/liblzma会被植入后门程序,据说微软连夜加班处理本次后门事件,主流云厂商们也都在加急排查风险和安全修复。...3月29日,微软公司的开发人员Andres Freund在调查SSH性能问题时,发现了xz软件包中一个涉及混淆恶意代码的供应链攻击。...进一步溯源发现SSH使用的上游liblzma库植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。...这导致生成了一个修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。 xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。...在发现者的演示中,发现它干扰了OpenSSH守护进程

    81860

    Linux 遭入侵,挖矿进程隐藏排查记录

    今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是揪出来啦 ? ?...这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程, 这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件.../tmp/.x,然后执行 注意:这个执行文件会修改服务器的一些配置,如dns,hosts,定时任务,创建可执行文件 查看dns 果然dns修改了 ?...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了,挖矿程序也没启动了。 ? ?

    7.4K30

    网站植入Webshell的解决方案

    Webshell 样例 以下是一个ASP Webshell的样例。从界面看,它的功能还是比较全的,可以对服务器的文件目录进行读写操作。如果你是网站管理员的话,肯定不希望普通用户获得下面的权限。 ?...Webshell如何注入 常见的Webshell植入方式以下类型: 利用站点上传漏洞,上传Webshell。...攻击者可以利用上传功能上传一个脚本文件,然后通过URL访问并执行这个脚本;然后攻击者就可以上传Webshell到网站的任意目录中,从而拿到网站的管理员控制权限。...系统中其他站点攻击,或者服务器上还搭载了FTP服务器。FTP服务器攻击时注入了Webshell的木马,导致网站系统感染。 黑客直接攻击Web服务器系统漏洞,实现入侵。...如何防止系统植入Webshell 配置必要的防火墙并开启防火墙策略;防止暴露不必要的服务,为黑客提供利用条件。 对服务器进行 安全加固。

    2.2K30

    Redis服务器植入后门

    研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。...CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。...今天,AquaSec报告说,其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件,该恶意软件并没有Virus Total上的安全软件检测到。...利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。该恶意软件在升级权限后被执行。...此外,由于Redis是一个数据库,访问数据并窃取它也可能是Redigo攻击的目的。

    1.1K20

    kill命令杀死所有进程_linux杀死一个进程

    1 kill:根据进程号(PID)杀死进程linux上,一般常用的杀死进程的命令是kill,但是也有缺陷,下面说 1、查看指定名称的进程,如下我查看运行python程序的进程 python aux|...grep python 2、根据进程号(PID)杀死进程:第二列显示的就是进程号 kill PID 3、强制杀死进程,有些进程可能杀不死,就加个-9参数,强制让它死掉!...kill -9 PID 5、杀死多个进程,在后面跟多个进程的PID号即可 kill -9 PID1 PID2 PID3 ... 2 pkill:根据进程名杀死进程 kill方法的缺陷是,当我们有很多进程要杀死...,不可能全部一个一个手动输进程号,因此能够根据进程名称中的关键字去杀进程,这样就可以批量杀死了,如下: 1、pkill 批量杀死进程 pkill -9 python 如下是我多线程开启了20个程序,批量杀死进程...2、pkill 更多参数 3 killall:根据进程名杀死进程 killall和pkill的用法几乎差不多 1、killall 批量杀死进程 killall-9 python 2、killall 更多参数

    5.6K40

    宋宝华: Linux僵尸进程可以“杀死”吗?

    什么是僵尸 首先要明确一点,僵尸进程的含义是:子进程已经死了,但是父进程还没有wait它的一个中间状态,这个时候子进程一个僵尸。...之后,4578会消失,因为父进程执行到了wait,也知道了子进程信号2杀掉的。...但是如果子进程死了,父进程不执行到wait,比如把上图中的"#if 0"改为"#if 1",杀死子进程后,子进程就是一个僵尸: ?...我们重新运行,当我们用kill -2杀掉子进程4628后,我们发现4628成为一个僵尸,状态变为Z+,名字上也加了一个棺材[],成为[a.out]: ?...僵尸不可能被杀死 我们看到上面4628是个僵尸很不爽,所以我们想把它干掉,据说Linux有个信号9,神挡杀神,佛挡杀佛,我们现在来用kill -9干掉4628: ?

    2.6K10

    主机植入木马后的应急响应思路

    又是一个风和日丽的下午,姜老师发了一张图。是一个系统进程的截图。赫然在目一个看起来命名很随便的一个进程名,很轻浮。 姜老师作为一个老江湖,怎么就能让这么一个不正经的程序在自己的主机上运行起来?...通过网页的漏洞,经过一系列的提权,将木马程序植入到服务器。这是一种比较常见的入侵。特别是在各种云厂商的服务上。 其实每家云服务厂商都有自己的防护系统。...但即使有这些防护系统,云主机入侵的概率也是不小的。姜老师面临一个比较尴尬的局面就是。业务用了一个很老的电商软件。用软件提供的功能来,支撑他们的业务运转。但可能是因为一个祖传代码。...但同时也面临着再次入侵的风险。 我们通过系统运维手段发现了问题的进程。姜老师定位这是入侵,很有可能是在国外进行。所以,大体回忆起来我们整个应急过程是这样的。 首先排查掉,重点业务是否有漏洞的危险!...但是也通过了日志审计,hids进程检查、代码扫描、IP限制、脚本限制等各种手段进行防御。 后期还对木马进行了分析。将木马放入沙箱,分析结果显示这是一个中威木马程序。

    95921

    众多玩家感染!超级马里奥植入恶意软件

    作者丨Zicheng 编辑丨zhuo 据 BleepingComputer 6 月 25 日消息,堪称经典的《超级马里奥 3:永远的马里奥》游戏正被网络攻击者植入恶意软件,导致众多玩家设备受到感染。...该游戏一经推出便颇受欢迎,认为是既保留了马里奥系列的经典机制,又具有更现代化的图形、造型和声音,目前已经发布多个后续版本,修复了错误并进行了改进。...游戏内包含的可执行文件 除了上述文件外,另一个名为“Umbral Stealer”的文件则会从受害者的Windows 设备中窃取数据,包括存储在网络浏览器中的信息,例如存储的密码和包含会话令牌的 cookie...对于未开启篡改保护的设备,Umbral Stealer 能够通过禁用该程序来逃避Windows Defender的检测,但即便开启了防篡改,也能将进程排除在威胁列表之外。

    19530

    Linux进程——Linux进程进程优先级

    如果对前面Linux进程不太熟悉可以先阅读: Linux进程 本篇主要内容: 僵尸进程和孤儿进程 Linux进程优先级 1. 僵尸进程 僵尸进程就是处于僵尸状态下的进程!...1.2 为什么会存在僵尸状态 Linux进程中,当一个进程死亡时不会立刻销毁,而是要等待我们读取死亡信息后才会死亡!...因此我们可以知道:当进程退出但是还没被读取退出信息时处于僵尸状态 PCB释放: 当一个进程在退出的时候,退出信息会由OS写入到当前退出进程的PCB中,可以允许进程的代码和数据空间释放,但是不能允许进程的...开个玩笑,孤儿进程是父进程在子进程退出之前就先退出了,此时的子进程就称为“孤儿进程” 但是前面刚刚讲过一个进程在死亡时,PCB的死亡信息必须读取后,才会释放PCB,但是如果父进程已经退出了,子进程的...容易导致优先级较低的进程,长时间得不到CPU资源 --进程饥饿 因此:每一个进程不是占有CPU就一直运行,每隔一段时间,自动从CPU上剥离下来 Linux 内核支持进程之间进行cpu资源抢占的,基于时间片的轮转式抢占式内核

    9210

    安全研究 | Linux 遭入侵,挖矿进程隐藏案例分析

    ;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...二、入侵分析 本次捕获案例的入侵流程与以往相比,没有特殊的地方,也是利用通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 通过查看文件内容,可以看到加载一个 .so 文件:/usr/local/lib/libjdk.so ?...继续分析变更的文件,还能看到相关文件也变更,比如黑客通过修改 /etc/rc.d/init.d/network 文件来进行启动: ? 同时修改 /etc/resolv.conf : ?

    3.2K80

    LinuxLinux进程控制>进程创建&&进程终止&&进程等待&&进程程序替换

    1.进程创建 1.1 fork函数 在linux中fork函数时非常重要的函数,它从已存在进程中创建一个进程。...,父进程通过wait来获取该值 说明:虽然status是int,但是仅有低8位可以进程所用。...当进程调用一种exec函数时,该进程的用户空间代码和数据完全新程序替换,从新程序的启动例程开始执行。...一个函数可以调用另外一个函数,同时传递给它一些参数。调用的函数执行一定的操作,然后返回一个值。...Linux鼓励将这种应用于程序之内的模式扩展到程序之间。如下图 一个C程序可以fork/exec另一个程序,并传给它一些参数。这个调用的程序执行一定的操作,然后通过exit(n)来返回值。

    13710

    Linux进程控制——Linux进程等待

    前言:接着前面进程终止,话不多说我们进入Linux进程等待的学习,如果你还不了解进程终止建议先了解: Linux进程终止 本篇主要内容: 什么是进程等待 为什么要进行进程等待 如何进程等待...进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力,谁也没有办法杀死一个已经死去的进程。...waitpid可以指定等待一个进程,且有三个参数 4....获取子进程status 父进程想要知道子进程的退出信息,也就是退出码和退出信号,就要用到输出型参数status wait和waitpid,都有一个status参数,该参数是一个输出型参数,由操作系统填充...总结拓展 拓展一:父进程如何得知子进程的退出信息 父进程调用wait()/waitpid()来获取子进程的退出信息,调用的接口就传入了一个status参数,而父进程中存在着一个statusp的指针

    9310

    Linux中查看端口哪个进程占用、进程调用的配置文件、目录等

    1.查看被占用的端口的进程,netstat/ss -antulp | grep :端口号 2.通过上面的命令就可以列出,这个端口哪些应用程序所占用,然后找到对应的进程PID 3.根据PID查询进程...如果想详细查看这个进程,PID具体是哪一个进程,可以通过命令的方式进行查看进程的详细信息,ps -ef | grep 进程PID 或者ps -aux | grep 进程PID 通过执行上面的命令,...就可以看到这个进程的详细信息,同时也可以看到这个进程存在的目录,进程执行的文件、配置文件等信息。...4.查看进程所在目录。...通过ll /proc/进程PID/cwd命令,可以直接查看进程所在的目录,这样的话就可以快速定位到进程的目录 查找他的进程目录之后,就可以对这个应用程序进行一系列的操作,比如说重启删除等!

    5K20

    Linux进程控制——Linux进程终止

    前言:前面了解完前面的Linux进程基础概念后,我们算是解决了Linux进程中的一大麻烦,现在我们准备更深入的了解Linux进程——Linux进程控制!...我们主要介绍的Linux进程控制内容包括:进程终止,进程等待与替换,进程程序替换! 本篇主要内容: 重识进程创建 进程退出场景 错误码和退出码 1....重识进程创建 1.1 fork函数 在我们之前提到过,创建进程使用的是fork函数,它从已存在进程中创建一个进程。新进程为子进程,而原进程为父进程。...main函数的退出码是可以进程获取的,用来判断子进程的运行结果 我们可以直接用指令查看进程的退出码: 指令:echo $?...返回的是上一个进程的错误码 2.2 C语言的错误码 错误码和退出码: 错误码通常是衡量一个库函数或者是一个系统调用一个函数的调用情况 退出码通常是一个进程退出的时候,他的退出结果 二者都是当失败的时候

    9810

    linux通过进程名杀死进程_linux关闭进程命令

    笔记:根据一个进程的名字或启动此进程的命令(连续的一部分即可)杀死进程 一、使用单条命令 ps -ef | grep 进程名/启动进程的命令 | grep -v grep | awk ‘{print $2...}’ | xargs kill -9 执行结果: [1]-  已杀死               sleep 200 [2]+  已杀死               sleep 200 二、编写脚本 linux.../bin/bash # 脚本名:kill_process.sh # 脚本功能:强制杀死进程 方式kill -9     # 1通过ps查询进程的id     # 2使用kill -9 强制终止进程...函数功能:根据进程名杀死程序     参数:进程名     返回值:无 !...————————————————————— # 根据进程名查询包含进程名的进程 并排除grep查询进程和此脚本进程 ps -ef | grep “$pName” | grep -v grep | grep

    16K20
    领券