Linux木马-Linux中毒处理总结(五)

2022年10月24日13:55:59 发表评论 125 views

1.1 木马运行原理

  1. 生成是木马病原体
  2. 通过脚本每隔1分钟自动检测一次,如果木马程序不存在就从病原体复制一份到某个目录,然后执行副本木马,生成一个随机命名的程序,把副本放到系统定时任务计划命令的路径下
  3. 修改自启动配置chkconfig --add xxx
  4. 修改自启动项/etc/rc.local

1.2 木马清除步骤

  1. 删除病原体以及其副本
  2. 删除系统计划任务中可疑的程序
  3. 删掉自启动服务的脚本chkconfig --del XXX
  4. 删掉可疑的自启动项: vi /etc/rc.local
  5. 删除/etc/crontab下可疑的任务
  6. 删除/etc/cron*下可疑的sh脚本
  7. 重启,查看脚本是否还执行

1.3 处理被黑服务器步骤

  1. 将原主机的网络线拔除,使用内网排查;
  2. 备份数据,把重要的服务安装文件和数据备份;
  3. 查看备份的数据中有没有怪异的文件,可以下载到本地后使用windows中的杀毒软件查杀一下;
  4. 重新安装操作系统,使用yum update更新系统到最新版本;
  5. 使用nessus之类的软件检验系统是否处在较为安全的状态;
  6. 将原本的重要数据移动至上个步骤安装好的系统当中,并启动原本服务器上面的各项服务;
  7. 配置防火墙的规则;
  8. 最后将原本完整备份的数据拿出来进行分析,尤其是日志部分,试图找出黑客是由哪个服务、哪个时间点、以哪个远程IP联机进入本机等等的信息,并针对该信息研拟预防的方法,并应用在已经运行的机器上;
weinxin
我的微信
如果有技术上的问题可以扫一扫我的微信
版权声明
1. 本网站名称:Leon的博客
2. 本站永久网址:https://blog.leonshadow.cn
3. 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ632113590进行删除处理。
4. 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6. 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
liyang