Linux木马-Linux中毒处理总结(五)

1.1 木马运行原理

  1. 生成是木马病原体
  2. 通过脚本每隔1分钟自动检测一次,如果木马程序不存在就从病原体复制一份到某个目录,然后执行副本木马,生成一个随机命名的程序,把副本放到系统定时任务计划命令的路径下
  3. 修改自启动配置chkconfig –add xxx
  4. 修改自启动项/etc/rc.local

1.2 木马清除步骤

  1. 删除病原体以及其副本
  2. 删除系统计划任务中可疑的程序
  3. 删掉自启动服务的脚本chkconfig –del XXX
  4. 删掉可疑的自启动项: vi /etc/rc.local
  5. 删除/etc/crontab下可疑的任务
  6. 删除/etc/cron*下可疑的sh脚本
  7. 重启,查看脚本是否还执行

1.3 处理被黑服务器步骤

  1. 将原主机的网络线拔除,使用内网排查;
  2. 备份数据,把重要的服务安装文件和数据备份;
  3. 查看备份的数据中有没有怪异的文件,可以下载到本地后使用windows中的杀毒软件查杀一下;
  4. 重新安装操作系统,使用yum update更新系统到最新版本;
  5. 使用nessus之类的软件检验系统是否处在较为安全的状态;
  6. 将原本的重要数据移动至上个步骤安装好的系统当中,并启动原本服务器上面的各项服务;
  7. 配置防火墙的规则;
  8. 最后将原本完整备份的数据拿出来进行分析,尤其是日志部分,试图找出黑客是由哪个服务、哪个时间点、以哪个远程IP联机进入本机等等的信息,并针对该信息研拟预防的方法,并应用在已经运行的机器上;
温馨提示:本文最后更新于2022-12-20 20:57:33,已超过483天没有更新。某些文章具有时效性,若文章内容或图片资源有错误或已失效,请联系站长。谢谢!
转载请注明本文链接:https://blog.leonshadow.cn/763482/2894.html
© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享