2. 程式人生 > >祭----------------一次查殺linux木馬的經歷

祭----------------一次查殺linux木馬的經歷

阿新 發佈:2019-02-05

症狀表現:

公司內部網路有一天突然開始卡頓,有幾個應用特別慢。網路人員查網路,發現有一臺機子在大量的傳送資料,大概每秒百兆這樣子。

-------------------------------------------華麗麗的分割線-----------------------------------------------------

查詢原因:

安裝iftop:

由於那臺機子沒有裝iftop等網路監控工具,因此首先需要裝一個。

[[email protected] etc]# yum install flex byacc  libpcap ncurses ncurses-devel
Loaded plugins: security
Setting up Install Process
Nothing to do

報錯,網上找原因。

[[email protected] etc]# cd /etc/yum.repos.d
[[email protected] yum.repos.d]# ll
total 0
此資料夾下沒有檔案

而根據網上所述,此處該有一個檔案rhel-debuginfo.repo

於是下載此檔案到當前目錄下:

並重命名為rhel-debuginfo.repo

然後再次檢視:

[[email protected] yum.repos.d]# ll
total 8
-rw-r--r-- 1 root root 1426 May 24  2009 CentOS-Base.repo
-rw-r--r-- 1 root root 1426 Feb 18 20:24 rhel-debuginfo.repo

繼續安裝:

[[email protected] yum.repos.d]# yum install  flex byacc  libpcap ncurses ncurses-devel libpcap-devel

[[email protected] /]# mkdir iftop_install
[[email protected] /]# cd iftop_install/
[[email protected] iftop_install]# ll
total 0
[[email protected] iftop_install]# wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz


[[email protected] iftop_install]# tar zxvf iftop-0.17.tar.gz
[[email protected] iftop_install]# cd iftop-0.17
[[email protected] iftop-0.17]# ./configure
[[email protected] iftop-0.17]# make && make install

安裝成功。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

iftop監控:

監控網路(包括埠號):

程式碼出處:

[[email protected] proc]# iftop -i eth0 -n -P

發現有個埠號在大量的傳送資料,查此埠號的程序:

程式碼出處:

[[email protected] ~]# lsof -Pnl +M -i4|grep 15612
Igoste     8343        0    5u  IPv4 326138       UDP *:15612

發現程序是Igoste,pid是8343

解決問題:

檢視此程序
[[email protected] tmp]# ps -ef | grep Igoste
root     20072     1 65 12:54 ?        00:01:36 /tmp/Igoste

查殺程序,並刪除檔案:
[[email protected] tmp]# kill -9 20072
[[email protected] tmp]# cd /tmp
[[email protected] tmp]# rm -f Igoste
十幾秒之後又重新啟動,,,,,,,,,,,,,,

查啟動檔案---遍歷所有資料夾 模糊查詢--------

命令出處:
[[email protected] /]# find /var  -type f -name '*Igoste*' > aaa.txt
[[email protected] /]# cat aaa.txt
[[email protected] /]#
------------------------------------------只有tmp下有一個Igoste

另外一個方法:殺程序,然後將/tmp/Igoste的許可權賦為000

方法來自此處:
[[email protected] tmp]# kill -9 20072
[[email protected] tmp]# cd /tmp
[[email protected] tmp]# chmod 000 Igoste

目前,沒有再啟動(有可能重啟之後,會再次出現。。。。。。)

修改root密碼!!!增加密碼複雜度!!!

另附一個

 另:Oracle官方的回覆給的建議:重灌伺服器

參考網址:

 後問題反覆,最終解決參考:

相關推薦

----------------linux木馬經歷

症狀表現: 公司內部網路有一天突然開始卡頓,有幾個應用特別慢。網路人員查網路,發現有一臺機子在大量的傳送資料,大概每秒百兆這樣子。 -------------------------------------------華麗麗的分割線---------------------

木馬入侵 linux

連接 ping 中文 image mar kcon 關閉 his http 目 錄: 一、問題現象: 二、問題排查: 1、netstat 排查: 2、top查看: 3、lsof -c 命令排查: 4、確定中木馬了。 三、木馬查殺: 木馬1,清除: 木馬2,清除: 四、後

記錄在內網Linux環境安裝Python的經歷

目標 因工作需要,希望在內網的一臺Linux Server上安裝Python及相關工具包。但在實際安裝過程中,遇到了缺少依賴包等問題。 安裝時問題 缺少依賴軟體包或模組 $ ./configure --prefix=/usr/local/pyth

linux伺服器上webshell木馬方法

1、可以查詢近3天被修改過的檔案,並顯示檔案列表詳細資訊: find -name "*.php" -type f -mtime -3 -exec ls -l {} \; 當然,結果中可能會包含很多cache類檔案,這些檔案不是我們要查詢的,那麼就需要把這類檔案從查詢結果中

阿裏電面經歷

art 存儲空間 自由 結束 eas 大型 特定 easy col 昨天下午(3/19)三點多鐘,接到了一個杭州的電話,是阿裏的。問我是否方便聊聊。我說我在上課,四點下課。然後他就四點多鐘的時候又打了一次過來。項目經歷上來就問我有無大型項目的經歷。不好意思,我說無。。。又

zabbix 慘痛的分區經歷

zabbix mysql 分區問題今天來到公司,像往常一樣打開zabbix,突然發現沒有數據被收集,於是快速檢查了其他的圖形,發現都沒有數據,於是定位到了服務端的問題,檢查日誌發現:zabbix日誌突然報查詢history和history_uint失敗,分區裏找不到這個 clock?解決過程以下僅是以hist

服務器Tomcat優化經歷

type tomcat優化 ext stream jpg 試用 ros index ctp 博主原創,轉載請註明。 公司需要一臺測試服務器來做測試用,所以花了幾天時間把服務全部部署好,在部署好war包之後,發現Tomcat訪問超級慢。 1、進入Tomcat的bin目錄下,運

Linux內核版本命令(兩種方法):

use proc color tex 2.6 distrib oot lin hat 一、查看Linux內核版本命令(兩種方法):1、cat /proc/version[[email protected]CentOS home]# cat /proc/versio

記錄wnTKYg挖礦木馬發現和清理

wntkyg cpu 前一段時間突然收到一條服務器CPU告警,大致看了下是一臺測試機,剛剛開始以為是在做壓力測試,但是再認真看下服務器的CPU是在極高的負載下發的告警,就去咨詢了下發現此時並沒有在壓力測試,平時如果測試服務沒有做壓測的時候CPU是幾乎負載都極地的,此時服務器突然CPU高負載是極為

UWP 記WTS 和 UCT翻車經歷

ont too templates input 修改 gpo cnblogs pup dial 原文:UWP 記一次WTS 和 UCT翻車經歷這次翻車,真的,在網上絕對找不到回答的。 只有在WTS的Issues討論中才找到,哈哈 不過這個應該比較少遇到吧,據我所知,提出

精疲力盡的改bug經歷

shu 循環 DC 命名 成功 項目 runt java spa 一、介紹 最近一直在做有關JavaScriptCore的技術需求,上周發現一個問題,當在JavaScriptCore在垃圾回收時,項目會有一定幾率發生崩潰。崩潰發生時調用堆棧如下: 圖1 調用堆棧 先對

RAID陣列的遷移經歷

行遷移 abs 一次 操作 常開 tabs 重啟 控制器 型號 xu言: 最近,某電信機房因為空調漏水問題導致了我司的Dell R430 服務器的主板及CPU不同程度受損。服務器已經不能正常開機。但是,又基於把服務器的數據需要最短時間進行恢復。抱著試試看的心裏進行了磁盤整體

springboot訪問linux的mysql數據庫

enable rac boot data jar expire 訪問權限 默認 登錄 今天使用springboot連接linux的mysql,期間一直報錯,這裏簡單記錄一下過程。 工具:idea-2017,linux-7.x,mysql-5.6.40。 首先說一下這幾個註解

多臺linux搭建zookeeper集群

tables hive sam conf accept keep server 查看 地方 自己搭建了zookeeper集群,使用了三臺linux,搭建三節點的集群,這裏記錄一下。 在linux上可以使用wget+網址+版本號,wget和網址之間有個空格,就可以直接在lin

手動清理Linux挖礦病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次

Xmrig挖礦木馬排查過程

linux 系統 異常 定位 計劃任務 root systemctl ica 文件名 發現 問題現象 Linux 服務器收到報警信息,主機 CPU 跑滿。 自動創建運行 Docker 容器 xmrig, 導致其他運行中容器被迫停止。 問題原因 通過 to

抓狂的亂碼經歷

win7 idt 參數 崩潰 tex 讀取 消失 以及 發生 常年Eclipse的守舊派久聞IDEA大名,終於在dalao的安利下入了IDEA的坑((才不是因為可以用翻譯插件 入坑一段時間,因為在編碼方面了解的還算比較多,平時基本沒遇到過亂碼問題,並且在第一次使用ID

驚險的檔案恢復經歷Eclipse saved my day

事情起因 事情的起因是這樣的:為了替換掉程式碼中某個常量的值,我使用了sed命令,本來以前用得好好的,這次討巧嘗試了一種新的方法,結果因為對sed不夠了解,又沒有經過試驗,想當然地對程式碼檔案進行了處理,結果就悲劇了——所有被處理過的檔案內容都被清空了。 峰迴路轉 怎麼鬱悶,

java匯出pdf的經歷

近期由於工作需要,需要將html程式碼匯入到pdf中,經過了幾種pdf的方案對比後發現IText是最簡單和便捷的一種方式,於是乎採用了Itext。 PDF生成 第一步:匯入Maven依賴 <!--pdf生成工具類--> <dependency>

喪心病狂的找bug經歷

java.lang.IllegalAccessError: tried to access class javax.el.Util from class javax.el.ELManager 這個報錯我今天快看吐了,用了一下午加一晚上才解決。說它是bug又不是bug,說不是也算是。