如果发现有上面可疑文件,需要全部删除,可删除的文件或目录如下:
rm -rf /usr/bin/dpkgd (ps netstat lsof ss) #这是加壳命令目录 rm -rf /usr/bin/bsd-port #这是木 马程序 rm -f /usr/bin/.sshd #这是木 马后门 rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt #这是启动上述描述的那些木 马后的变种程序 rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt #删除自启动 rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt rm -f /etc/rc.d/init.d/selinux #这个selinux是个假象,其实启动的是/usr/bin/bsd-port/getty程序 rm -f /etc/rc.d/rc1.d/S99selinux #删除自启动 rm -f /etc/rc.d/rc2.d/S99selinux rm -f /etc/rc.d/rc3.d/S99selinux rm -f /etc/rc.d/rc4.d/S99selinux rm -f /etc/rc.d/rc5.d/S99selinux
上面的一些命令(ps netstat lsof ss)删除后,系统中这些命令就不能使用了,怎么恢复这些命令呢,有两种方式:一个是从别的同版本机器上拷贝一个正常的文件过来,另一个是通过rpm文件重新安装这些命令 。
例如,删除了ps命令后,可以通过yum安装ps命令:
[root@server ~]#yum -y reinstall procps
其中,procps包中包含了ps命令 。
[root@server ~]#yum -y reinstall net-tools [root@server ~]#yum -y reinstall lsof [root@server ~]#yum -y reinstall iproute
上面三个命令是依次重新安装netstat、lsof、ss命令 。
四、找出异常程序并杀死
所有可疑文件都删除后,通过top、ps等命令查看可疑进程,全部kill掉即可,这样进程kill之后,因为启动文件已经清除,所以也就不会再次启动或者生成牧马文件了 。
这个案例是个典型的文件级别rootkit植入系统导致的,最后检查植入的原因是由于这台oracle服务器有外网IP,并且没设置任何防火墙策略,同时,服务器上有个oracle用户,密码和用户名一样,这样一来,黑 客通过服务器暴露在外网的22端口,然后通过暴力破解,通过这个oracle用户登录到了系统上,进而植入了这个rootkit病毒 。
【一次服务器沦陷为肉鸡后的排查过程】
推荐阅读
![[晨财经]因个人原因,泰豪科技证券事务代表刘立立辞职](https://imgcdn.toutiaoyule.com/20200404/20200404062421835721a_t.jpeg)
- 上海世博会几年一次 世博会几年一次
- 龙歌ol单机版?在大陆玩龙歌OL哪个服务器延迟最低?或告诉下 欧洲到中国的距离和美国东部和西部到中国的距离!?
- 山亭|领导如何培养嫡系?让下属心甘情愿追随,尽我所能一次说明白
- 张艺上|纵有疾风起:叶守儒对烁冰的第一次试探,就察觉到烁冰撒谎了
- 张凌赫|张凌赫即将开启霸屏模式?一次性带来5部新剧,女主个个是女神
- |这档音综有望让民谣再火一次
- 上传速度慢怎么解决 上传速度慢
- 果酸换肤多少钱一次 果酸换肤注意事项
- 刹车片需要多久更换一次才安全? 刹车片多久换一次
- 迪丽热巴|迪丽热巴工作室沦陷!怀孕传闻甚嚣尘上,粉丝刷屏要求发行程图