1.1 木马运行原理
- 生成是木马病原体
- 通过脚本每隔1分钟自动检测一次,如果木马程序不存在就从病原体复制一份到某个目录,然后执行副本木马,生成一个随机命名的程序,把副本放到系统定时任务计划命令的路径下
- 修改自启动配置chkconfig --add xxx
- 修改自启动项/etc/rc.local
1.2 木马清除步骤
- 删除病原体以及其副本
- 删除系统计划任务中可疑的程序
- 删掉自启动服务的脚本chkconfig --del XXX
- 删掉可疑的自启动项: vi /etc/rc.local
- 删除/etc/crontab下可疑的任务
- 删除/etc/cron*下可疑的sh脚本
- 重启,查看脚本是否还执行
1.3 处理被黑服务器步骤
- 将原主机的网络线拔除,使用内网排查;
- 备份数据,把重要的服务安装文件和数据备份;
- 查看备份的数据中有没有怪异的文件,可以下载到本地后使用windows中的杀毒软件查杀一下;
- 重新安装操作系统,使用yum update更新系统到最新版本;
- 使用nessus之类的软件检验系统是否处在较为安全的状态;
- 将原本的重要数据移动至上个步骤安装好的系统当中,并启动原本服务器上面的各项服务;
- 配置防火墙的规则;
- 最后将原本完整备份的数据拿出来进行分析,尤其是日志部分,试图找出黑客是由哪个服务、哪个时间点、以哪个远程IP联机进入本机等等的信息,并针对该信息研拟预防的方法,并应用在已经运行的机器上;
我的微信
如果有技术上的问题可以扫一扫我的微信
