美文网首页
linux病毒查杀

linux病毒查杀

作者: hankin_h | 来源:发表于2022-04-23 18:52 被阅读0次
  1. 搜索主机的主要异常特征
    【1】 挖矿进程名
    【2】网关报警域名/IP
    2.搜索主机可疑特征
    【1】定时任务 crontab -l


    4360761-4cc392bfc2c02491.png
4360761-5019ee9d57fece80.png

【2】可疑文件路径


image.png image.png

【3】可疑网络连接


image.png

2.常见Linux病毒家族
老一辈: BillGates
新生代家族: DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族:Mirai、Gafgyt

  1. 病毒特点
    BillGates
    【1】在/tmp目录下有gates.lod、moni.lod文件
    【2】访问域名www.id666.pw
    【3】将系统文件(ss、netstat、ps)替换成病毒的伪装文件
    DDG
    【1】tmp目录下有ddgs.+数字的ELF文件
    【2】存在下载i.sh的定时任务
    SystemMiner
    【1】访问带有tor2web、onion字符串的域名
    【2】在/tmp目录下有systemd的文件(后期版本为随机名)
    【3】存在运行systemd-login的定时任务(后期版本为随机名)
    StartMiner
    【1】定时任务里有包含2start.jpg的字符串
    【2】/tmp目录下存在名为x86.
    的病毒文件
    【3】有多个病毒伪装定时任务文件:apache、nginx、root
    WatchdogsMiner
    【1】存在执行pastebin.com上恶意代码的定时任务
    【2】/tmp目录下存在一个名为watchdogs的病毒文件
    XorDDos
    【1】存在病毒文件/lib/libudev.so
    【2】在/usr/bin, /bin, /lib, /tmp目录下存在随机名病毒文件
    【3】存在执行gcc.sh的定时任务
    Mirai
    【1】多平台攻击,病毒文件中带有架构名
    【2】由于代码开源,Mirai每天都在变种

4.三步轻松清除挖矿病毒
【1-1】定位挖矿进程 1.top、htop
【1-2】清除挖矿进程 kill -9 [pid]
【2-1】根据进程信息定位文件 ll /proc/[pid]/exe
【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]
【3-1】检查定时任务 crontab -l , ll /etc/cron.d/
【3-2】清除定时任务 crontab -r *注意是否存在业务需要的定时任务
【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron
【3-4】 删除定时任务文件 rm /etc/cron.d/[file]

5.顽固病毒对抗技巧


image.png

关键字关联可以进程: ps -elf | grep [sh、wget、curl、xmr、mine、ssh] | grep -v grep

6.主机卡顿但找不到挖矿进程
使用busybox的top命令,

相关文章

  • linux病毒查杀

    搜索主机的主要异常特征【1】 挖矿进程名【2】网关报警域名/IP2.搜索主机可疑特征【1】定时任务 crontab...

  • 应急之木马查杀

    什么是手动查杀病毒技术 为什么要学习手工病毒查杀技术 当病毒文件隐藏时我们就要借用ark系列工具 什么是ARK系列...

  • ClamAV病毒查杀

    一、介绍 Clam AntiVirus 是一款 UNIX 下开源的 (GPL) 反病毒工具包,专为邮件网关上的电子...

  • 金山毒霸2017 V3.7版官方下载

    查杀更新: 【支持对国内敲诈者“纵情文件修复 ”病毒的拦截和查杀】 该敲诈者病毒会篡改电脑的图片、文档等重要资料,...

  • 夺取应用程序的 “制空权”:内存数据

    技术背景 在病毒查杀,应用安全对抗,静态逆向应用,动态逆向应用,最重要的对象就是,应用程序的内存数据。 病毒查杀对...

  • 手动查杀病毒

    这几天,感觉到电脑怪怪的。 每天晚上八点左右,我在电脑上运行的一个在线程序都会被莫名其妙地被关闭,当我想用任务管理...

  • linux进程查杀

    kill -[信号] PID kill -1 123 (平滑重启123进程) killall [选项][信号] ...

  • Linux服务器 查杀病毒木马实录

    作为程序员一枚首先服务器基本安全配置: 禁用默认端口22 防止撞库等方式暴力破解服务器 命令: vim /etc/...

  • LINUX杀毒 Centos 安装clamav 进行病毒扫描查杀

    linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,...

  • 使用 clamav 查毒,及如何删除十字符libudev.so病

    起因:发现某台服务器流量暴增 查毒: 记一次Linux服务器上查杀木马经历手动配置病毒库请参见另外一篇文章记录查询...

网友评论

      本文标题:linux病毒查杀

      本文链接:https://www.haomeiwen.com/subject/jfgaertx.html