|
|
仿ssh服务的木马攻击处理案例分析过程:https://www.ffy.com/latest-news/1934859934285959168
手动删除木马文件:
经过分析,由于这个木马程序多处使用系统开机的配置实现自启动,然而很多启动项又是被木马程序保护起来的,使用rm和ls等很多命令无法看到。因此,手动删除分为两步,首先清除掉自启动配置,重启机器之后就可以直接删除了。
删除开机启动项目
- # 清除系统开机启动项
- sed -i '/netstat.cfg/d' /etc/rc.d/rc.local
-
- dd if=/dev/null of=/etc/rc.d/dns-udp4
- dd if=/dev/null of=/etc/rc.d/init.d/dns-udp4
-
- # 清除用户登录启动项
- dd if=/dev/null of=/etc/profile.d/bash.cfg
- dd if=/dev/null of=/etc/profile.d/gateway.sh
-
- # 机器重启系统
- reboot
将启动项目完全清除掉之后,此时使用常规的ls等命令就可以看到木马文件,直接按照常规方式将所有木马程序删除即可。
- # 清除残留启动项
- rm -rf /etc/rc.d/dns-udp4
- rm -rf /etc/rc.d/init.d/dns-udp4
- rm -rf /etc/rc.d/rc*.d
-
- rm -rf /etc/profile.d/gateway.sh
- rm -rf /etc/profile.d/bash.cfg.sh
-
- # 清除木马程序二进制文件
- rm -rf /etc/profile.d/bash.cfg
- rm -rf /usr/sbin/netstat.cfg
- rm -rf /boot/system.pub
- rm -rf /usr/lib/libgdi.so.0.8.2
- rm -rf /usr/lib/system.mark
|
|
发表于