服务器被仿ssh服务的木马攻击应该如何处理?
仿ssh服务的木马攻击处理案例分析过程:https://www.ffy.com/latest-news/1934859934285959168手动删除木马文件:
经过分析,由于这个木马程序多处使用系统开机的配置实现自启动,然而很多启动项又是被木马程序保护起来的,使用rm和ls等很多命令无法看到。因此,手动删除分为两步,首先清除掉自启动配置,重启机器之后就可以直接删除了。
删除开机启动项目
# 清除系统开机启动项
sed -i '/netstat.cfg/d' /etc/rc.d/rc.local
dd if=/dev/null of=/etc/rc.d/dns-udp4
dd if=/dev/null of=/etc/rc.d/init.d/dns-udp4
# 清除用户登录启动项
dd if=/dev/null of=/etc/profile.d/bash.cfg
dd if=/dev/null of=/etc/profile.d/gateway.sh
# 机器重启系统
reboot清除残留文件
将启动项目完全清除掉之后,此时使用常规的ls等命令就可以看到木马文件,直接按照常规方式将所有木马程序删除即可。
# 清除残留启动项
rm -rf /etc/rc.d/dns-udp4
rm -rf /etc/rc.d/init.d/dns-udp4
rm -rf /etc/rc.d/rc*.d
rm -rf /etc/profile.d/gateway.sh
rm -rf /etc/profile.d/bash.cfg.sh
# 清除木马程序二进制文件
rm -rf /etc/profile.d/bash.cfg
rm -rf /usr/sbin/netstat.cfg
rm -rf /boot/system.pub
rm -rf /usr/lib/libgdi.so.0.8.2
rm -rf /usr/lib/system.mark
页:
[1]