centos 10字母随机文件病毒清理】的更多相关文章

centos 10字母随机文件病毒清理

病毒表现:网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会再随机产生一个新的进程.查找步骤:一./proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面: gnome-termina…

在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功

前言 上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数.kill之后,一会儿又重新生成了.突然发现居然没有在服务端杀毒的经历.在此处补齐. 安装clamav http://www.linuxdiyf.com/linux/18635.html http://www.linuxidc.com/Linux/2013-09/90021.htm http://www.linuxidc.com/Linux/2013-08/88981.htm 扫描 clamsca…

linux服务器随机10字符病毒/libudev4.so病毒清理的过程

故障表现:某天晚上突然收到某项目一台web服务器CPU报警,SSH连接困难卡顿,登陆后发现CPU使用率飙升到700%,第一感觉是被黑了,来事了. 故障处理: 1.登陆上后发现有好多莫名的命令(who/whoami/cat resolv.conf等,可见木马脚本还未被杀禁)kill -9后发现木马进程过段时间还会启动,所以肯定是有计划任务,去查看crontab果然有,删除后,chattr +i /etc/crontab禁止再被修改: cat /etc/cron.hourly/gcc.sh(也可能是…

Linux 10字符串命令病毒的处理记录

刚上线的测试服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程.删除文件也会重复生成,非常痛苦.查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容: 1,網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率.刪除這些程序,馬上又產生新的程序. 2,檢查 /etc/crontab 每三分鐘執行 gc…

小记IptabLes和IptabLex病毒清理过程

去年有台Linux服务器被黑了,看了500万行日志(现在觉得当时好厉害呀),反正当时的日志文件有700Mb以上大.前两天师兄告诉我,信息中心的老师给他说我们有台服务器应该是被人入侵了,当作内网的跳板,经常对内网中的其他服务器发出攻击的数据.于是我连夜就去服务器上看了. 这是我第一次上这个服务器,什么情况都不知道,只知道这个服务器是Linux(尼玛具体是什么发行版都要我去查),上面跑着一个网站. 进去之后,先看看是什么发行版的.CentOS6.5,以前都只玩的Ubuntu,换这个上面多多少少还有点…

Linux服务器病毒清理实践

背景:客户服务器被挂载木马病毒用以挖矿(比特币). 本次清理通过Linux基本命令完成.其原理也比较简单,通过ps命令查看服务器异常进程,然后通过lsof命令定位进程访问的文件,找到异常文件删除之,最后为了确保万无一失,可以通过find命令找出最近时间内服务器上产生的文件进一步排除. 刚开始通过top命令发现某个进程占据大量系统CPU资源,但是该进程确不是我们系统业务进程.通过kill -9 PID  杀掉该进程,观察一会后,进程又恢复了.怀疑是定时任务拉起的,固排查了下定时任务相关的配置文件/…

10款 Mac 系统优化清理工具软件推荐和下载

本文内容及图片来源[风云社区 SCOEE] 在Windows上有各种安全卫士.系统助手等系统优化和清理工具,比如360安全卫士.腾讯安全管家等,同样MacOS系统也有很多好用的系统优化清理工具,体验比Windows更好,今天和大家推荐10款Mac上优秀的系统优化清理工具. 1. CleanMyMac Mac最知名的系统优化和清理工具,集成了垃圾清理.软件卸载.系统优化.系统监控等各种功能,用户体验也很不错.   2. MacBooster 除了具有类似 CleanMyMac 的垃圾清理和软件卸载…

记一次阿里云linux病毒清理过程

1.起因   因为这台服务器是我们公司内部开发服务器,几乎每个人都有root密码.在两天前突然有同事反馈说偶尔会有ssh连不上,git代码无法提交的问题,刚开始也没有在意,以为是阿里云服务器网络波动的原因.   今天开发又像我反应redis连不上并且ssh也连不上,感觉事情没有想象的那么简单了,还好我在跳板机上能够远程连接上,所以就稍微看了一下. 2.处理过程 2.1 观察监控和服务器资源   因为觉得不对劲,所以瞄了一眼监控,发现这台服务器eth0网卡的流量被跑满了,图在下面   在服务器上通…

CentOS 下如何查看并清理系统内存空间

有时候在服务器上打开了很多会占用内存的程序但关闭这些程序后,发现内存空间还是和没有关闭应用程序时的占用一样,以致使其它应用程序打开时内存不够或很卡,那么此时就想清理掉以前的程序打开时所占用的内存.而大部分都是缓存数据所占用的,那么怎样进行内存的清理呢?可以使用以下的步骤来进行内存的清理: 大多数 Linux 服务器都是默认开启了缓存机制的,查看配置文件 cat /proc/sys/vm/drop_caches 若为0的话,则表示开启了缓存机制的,这种机制在一直运行某个服务的时候非常有效,便于服务…

记一次Linux Centos7病毒清理

记一次在工作中测试环境下中病毒的处理解决办法,都说linux系统非常安全,但是很多人百年一遇的病毒被我遇上了,公司三台测试环境服务器中招. 最开始系统突然变得很卡,使用top命令查看资源占用情况,发现有一个nginx进程占用非常高的cpu,但是!这机器上根本没有装nginx...于是开始一系列排查. 想要使用kill命令结束进程结果没有几秒钟进程又自动启动了 使用ps -ef | grep 31990 查看进程发现没有这个名叫nginx的进程,初步判断是木马进行了伪装,接下来使用lsof -p…