如何处理linux恶意程序
一、准备实验环境SYN洪水攻击
一台Windows Server 做控制端、一台linux服务器做被控制端(肉机),使用软件如下:
点击生成器输入控制端的IP生成木马文件txma,10771是控制监控程序,如果有被控制端上线立马可以在控制台发现,将txma上传到linux服务器,设置可执行权限并运行此木马,结果如下:
被控制端:将txma上传到linux服务器,设置可执行权限并运行此木马
注意 id是闲置的cpu
控制端:有肉机上线发起攻击设置攻击的服务器ip和端口
二、肉机上线发现清除木马进程
top 命令可以发现id是0 CPU可用是0,有个进程txma PID 2187使用的CPU过多异常情况
可以使用killall tama 或者 kill -9 2187netstat -natp 命令
可以发现linux服务器开启一个本地异常端口连接另一个IP的端口
此时也能确认PID是2187,可以使用kill -9 2187清除木马文件
[root@k8s-master ~]# find / -name "*txma*" /root/txma /usr/bin/txma /usr/local/bin/txma [root@k8s-master ~]#
查到木马文件进行删除
三、清除木马自动复活点
使用crontab计划任务复活木马crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的
cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行系统自启动复活木马
在/etc/rc.local 文件中添加木马启动命令,这个文件在开机后会执行一些自动加载的文件复活木马
/etc/profile #所有用户登录系统时自动执行此文件,木马复活下载运行可以放到这里;
.bash_profile用户家目录下面的 #当前此用户登录系统会执行,木马复活下载运行可以放到这里 ;
/etc/bashrc #所有子shell都会执行此文件,木马复活下载运行可以放到这里 ;
.bashrc 用户家目录下面的 #当前此用户子shell会执行,木马复活下载运行可以放到这里 ;
注意文件的扩展属性:
chattr +i 文件名 #文件只读
lsattr #查看rootkit后门复活木马
rootkit后门是用户执行常用的命令时候,复活木马程序,此时系统命令被感染。
一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令
例如:
cat txma /usr/bin/ps >> ps1
which ps 把ps1 软连到ps
四、 断木马下载的后路
linux系统不安装下载的命令 例如:curl wget等
五、删除木马创建的用户
userdel -r 用户名 #如果删除不了是因为此用户有运行的进程,需要kill此用户的所运行的进程
六、添加微信公众号一起进步
资料下载 /download/qq_31555951/12162212
如果觉得《如何处理linux恶意程序》对你有帮助,请点赞、收藏,并留下你的观点哦!