欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一大早就解决了个服务器木马问题

来源:本站整理 作者:furyamber 时间:2017-06-05 TAG: 我要投稿

今天早上上班,解决了一个木马问题
先有人发现本地测试网页打不开,于是我 ssh登上服务器
第一步
使用ps以及netstat命令查看服务运行状态,发现这2个命令返回全是空的,当时就感觉这2个命令被人替换了
第二步
然后分别跟正常服务器对比,发现这2个命令大小都是一样的,而且正常的大小不一样。
第三步
从正常的服务器把这2个命令拷贝到任意目录,加上目录名正常使用
第四步
发现家目录下有个t文件,而且是可执行文件,一看就是有问题的
第五步
到/etc/init.d目录下 执行ls -la|sort -k6按更新月份排序,重点关注本月的文件,然后发现有一个名字很乱的文件大概叫vs******,不好意思当时很急忘了记了。打开发现这个文件只有个简单的命令,就是启动t命令的。删除,重启,发现问题依然。www.myhack58.com
第六步
后来用了很多lsof什么的命令,使用lsof -p '木马进程id',最后没办法还是查看/etc/init.d目录,发现本月还有个selinux文件,然后跟正常服务器对比,发现并没有这个目录。然后进去查看,果然指向了一个新的目录,删除目录下的有问题的文件,重启后就正常了
 
挺遗憾的没有正确的记录下来,漏了很多东西。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载