㈠ Exploit.linux.Lotoor.bb我用卡巴斯基掃描全盤的時候他給我的木馬威脅選項,不知道這是神馬,求高手!
願我的答案 能夠復解決您的煩制憂
換個強力的殺毒軟體看看是不是誤報,或者還有什麼病毒
第一,請您先不要著急,只要病毒就有克制的方法。
第二,建議您現在立刻下載騰訊電腦管家「8.2」最新版,對電腦首先進行一個體檢,打開所有防火牆避免系統其餘文件被感染。
第三,打開殺毒頁面開始查殺,切記要打開小紅傘引擎。
第四,如果普通查殺不能解決問題,您可以打開騰訊電腦管家---工具箱---頑固木馬專殺- 進行深度掃描。
第五,查殺處理完所有病毒後,立刻重啟電腦,再進行一次安全體檢,清除多餘系統緩存文件,避免二次感染。
㈡ 請給推薦linux的殺毒軟體吧
1、ClamAV
是一款開源防病毒軟體,可檢測病毒、惡意軟體、特洛伊木馬和其他威脅,也是免費提供的,這使其成為Linux上最好的防病毒軟體之一,ClamAV具有命令行掃描程序,這意味著它可以掃描主要文件類型中的蠕蟲、病毒和特洛伊木馬,為確保安全並保持最新狀態,病毒庫一天會更新多次。
2、Chkrootkit
Chkrootkit會檢查rootkit,它是一個在命令行界面上運行的免費軟體,可以在不安裝軟體的情況下掃描您的系統,還是一個輕量級程序,這意味著它不會影響系統性能,還可以檢測各種其他惡意軟體和木馬,如後門、TinyNDS等。
3、Comodo
作為Linux上最好的免費防病毒軟體之一,Comodo帶有按需病毒掃描程序,還檢查使用雲資料庫以檢查未知文件,以確保每一天的安全,一旦安裝,就不會用無用的警報來打擾你,只是保護計算機免受所有傳入的威脅。
4、Sophos
作為另一款免費的防病毒軟體,Sophos具有高級功能,並且在Linux系統上也能輕松運行,可以使你的Linux免受Android、Windows和Mac的病毒和惡意軟體的侵害,且具有強大的基於啟發式的檢測和實時掃描功能。
5、Rootkit Hunter
另一個免費檢測rootkit的好選擇,RootkitHunter也被認為是Linux上最好的防病毒軟體之一,與大多數UNIX系統兼容,使用命令行界面,重量輕。
6、F-PROT
是一款帶有按需掃描儀的免費軟體,這是一個不錯的選擇,可確保針對宏病毒、引導扇區病毒和木馬的安全性,可以根據自己的喜好安排掃描,強大的工具是快速掃描和龐大數據庫的組合,可確保您的系統安全。
㈢ 掃描目標系統會不會被發現如果會則在哪裡查看被掃描的痕跡
埠掃描是指某些別有用心的人發送一組埠掃描消息,試圖以此侵入某台計算機,並了解其提供的計算機網路服務類型(這些網路服務均與埠號相關)。埠掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪裡可探尋到攻擊弱點。實質上,埠掃描包括向每個埠發送消息,一次只發送一個消息。接收到的回應類型表示是否在使用該埠並且可由此探尋弱點。 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本!這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 一個埠就是一個潛在的通信通道,也就是一個入侵通道。對目標計算機進行埠掃描,能得到許多有用的信息。進行掃描的方法很多,可以是手工進行掃描,也可以用埠掃描軟體進行掃描。 在手工進行掃描時,需要熟悉各種命令。對命令執行後的輸出進行分析。用掃描軟體進行掃描時,許多掃描器軟體都有分析數據的功能。 通過埠掃描,可以得到許多有用的信息,從而發現系統的安全漏洞。 以上定義只針對網路通信埠,埠掃描在某些場合還可以定義為廣泛的設備埠掃描,比如某些管理軟體可以動態掃描各種計算機外設埠的開放狀態,並進行管理和監控,這類系統常見的如USB管理系統、各種外設管理系統等。 2掃描工具編輯 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本!這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 3工作原理編輯 掃描器通過選用遠程TCP/IP不同的埠的服務,並記錄目標給予的回答,通過這種方法,可以搜集到很多關於目標主機的各種有用的信息(比如:是否能用匿名登陸!是否有可寫的FTP目錄,是否能用TELNET,HTTPD是用ROOT還是nobady在跑. 4技術分類編輯 1、開放掃描; 2、半開放掃描; 3、隱蔽掃描。 5其它相關編輯 作用 掃描器並不是一個直接的攻擊網路漏洞的程序,它僅僅能幫助我們發現目標機的某些內在的弱點。一個好的掃描器能對它得到的數據進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。 掃描器應該有三項功能:發現一個主機或網路的能力;一旦發現一台主機,有發現什麼服務正運行在這台主機上的能力;通過測試這些服務,發現漏洞的能力。 編寫掃描器程序必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識。需要一些Socket編程的背景,一種在開發客戶/服務應用程序的方法。開發一個掃描器是一個雄心勃勃的項目,通常能使程序員感到很滿意。 埠號 代理伺服器常用以下埠: ⑴. HTTP協議代理伺服器常用埠號:80/8080/3128/8081/9080 ⑵. SOCKS代理協議伺服器常用埠號:1080 ⑶. FTP(文件傳輸)協議代理伺服器常用埠號:21 ⑷. Telnet(遠程登錄)協議代理伺服器常用埠:23 HTTP伺服器,默認的埠號為80/tcp(木馬Executor開放此埠); HTTPS(securely transferring web pages)伺服器,默認的埠號為443/tcp 443/udp; Telnet(不安全的文本傳送),默認埠號為23/tcp(木馬Tiny Telnet Server所開放的埠); FTP,默認的埠號為21/tcp(木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠); TFTP(Trivial File Transfer Protocol),默認的埠號為69/udp; SSH(安全登錄)、SCP(文件傳輸)、埠重定向,默認的埠號為22/tcp; SMTP Simple Mail Transfer Protocol (E-mail),默認的埠號為25/tcp(木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠); POP3 Post Office Protocol (E-mail) ,默認的埠號為110/tcp; WebLogic,默認的埠號為7001; Webshpere應用程序,默認的埠號為9080; webshpere管理工具,默認的埠號為9090; JBOSS,默認的埠號為8080; TOMCAT,默認的埠號為8080; WIN2003遠程登陸,默認的埠號為3389; Symantec AV/Filter for MSE,默認埠號為 8081; Oracle 資料庫,默認的埠號為1521; ORACLE EMCTL,默認的埠號為1158; Oracle XDB(XML 資料庫),默認的埠號為8080; Oracle XDB FTP服務,默認的埠號為2100; MS SQL*SERVER資料庫server,默認的埠號為1433/tcp 1433/udp; MS SQL*SERVER資料庫monitor,默認的埠號為1434/tcp 1434/udp; qq,默認的埠號為1080/udp[1] 掃描分類 TCP connect() 掃描 這是最基本的TCP掃描。操作系統提供的connect()系統調用,用來與每一個感興趣的目標計算機的埠進行連接。如果埠處於偵聽狀態,那麼connect()就能成功。否則,這個埠是不能用的,即沒有提供服務。這個技術的一個最大的優點是,你不需要任何許可權。系統中的任何用戶都有權利使用這個調用。另一個好處就是速度。如果對每個目標埠以線性的方式,使用單獨的connect()調用,那麼將會花費相當長的時間,你可以通過同時打開多個套接字,從而加速掃描。使用非阻塞I/O允許你設置一個低的時間用盡周期,同時觀察多個套接字。但這種方法的缺點是很容易被發覺,並且被過濾掉。目標計算機的logs文件會顯示一連串的連接和連接是出錯的服務消息,並且能很快的使它關閉。 TCP SYN掃描 這種技術通常認為是「半開放」掃描,這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發送的是一個SYN數據包,好象准備打開一個實際的連接並等待反應一樣(參考TCP的三次握手建立一個TCP連接的過程)。一個SYNACK的返回信息表示埠處於偵聽狀態。一個RST返回,表示埠沒有處於偵聽態。如果收到一個SYNACK,則掃描程序必須再發送一個RST信號,來關閉這個連接過程。這種掃描技術的優點在於一般不會在目標計算機上留下記錄。但這種方法的一個缺點是,必須要有root許可權才能建立自己的SYN數據包。 TCP FIN 掃描 有的時候有可能SYN掃描都不夠秘密。一些防火牆和包過濾器會對一些指定的埠進行監視,有的程序能檢測到這些掃描。相反,FIN數據包可能會沒有任何麻煩的通過。這種掃描方法的思想是關閉的埠會用適當的RST來回復FIN數據包。另一方面,打開的埠會忽略對FIN數據包的回復。這種方法和系統的實現有一定的關系。有的系統不管埠是否打開,都回復RST,這樣,這種掃描方法就不適用了。並且這種方法在區分Unix和NT時,是十分有用的。 IP段掃描 這種不能算是新方法,只是其它技術的變化。它並不是直接發送TCP探測數據包,是將數據包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數據包,從而過濾器就很難探測到。但必須小心。一些程序在處理這些小數據包時會有些麻煩。 TCP 反向 ident掃描 ident 協議允許(rfc1413)看到通過TCP連接的任何進程的擁有者的用戶名,即使這個連接不是由這個進程開始的。因此你能,舉個例子,連接到http埠,然後用identd來發現伺服器是否正在以root許可權運行。這種方法只能在和目標埠建立了一個完整的TCP連接後才能看到。 FTP 返回攻擊 FTP協議的一個有趣的特點是它支持代理(proxy)FTP連接。即入侵者可以從自己的計算機和目標主機的FTP server-PI(協議解釋器)連接,建立一個控制通信連接。然後,請求這個server-PI激活一個有效的server-DTP(數據傳輸進程)來給Internet上任何地方發送文件。對於一個User-DTP,這是個推測,盡管RFC明確地定義請求一個伺服器發送文件到另一個伺服器是可以的。給許多伺服器造成打擊,用盡磁碟,企圖越過防火牆」。 我們利用這個的目的是從一個代理的FTP伺服器來掃描TCP埠。這樣,你能在一個防火牆後面連接到一個FTP伺服器,然後掃描埠(這些原來有可能被阻塞)。如果FTP伺服器允許從一個目錄讀寫數據,你就能發送任意的數據到發現的打開的埠。[2] 對於埠掃描,這個技術是使用PORT命令來表示被動的User DTP正在目標計算機上的某個埠偵聽。然後入侵者試圖用LIST命令列出當前目錄,結果通過Server-DTP發送出去。如果目標主機正在某個埠偵聽,傳輸就會成功(產生一個150或226的回應)。否則,會出現"425 Can't build data connection: Connection refused."。然後,使用另一個PORT命令,嘗試目標計算機上的下一個埠。這種方法的優點很明顯,難以跟蹤,能穿過防火牆。主要缺點是速度很慢,有的FTP伺服器最終能得到一些線索,關閉代理功能。 這種方法能成功的情景: 220 xxxx. FTP server (Version wu-2.4⑶ Wed Dec 14 ...) ready. 220 xxx.xxx. FTP server ready. 220 xx.Telcom. FTP server (Version wu-2.4⑶ Tue Jun 11 ...) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx. FTP server (Version wu-2.4⑾ Sat Apr 27 ...) ready. 220 elios FTP server (SunOS 4.1) ready 這種方法不能成功的情景: 220 wcarchive. FTP server (Version DG-2.0.39 Sun May 4 ...) ready. 220 xxx.xx.xx. Version wu-2.4.2-academ[BETA-12]⑴ Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-2.4.2-academ[BETA-11]⑴ Tue Sep 3 ...) ready. 220 xxx.FTP server (Version wu-2.4.2-academ[BETA-13]⑹ ...) ready. 不能掃描 這種方法與上面幾種方法的不同之處在於使用的是UDP協議。由於這個協議很簡單,所以掃描變得相對比較困難。這是由於打開的埠對掃描探測並不發送一個確認,關閉的埠也並不需要發送一個錯誤數據包。幸運的是,許多主機在你向一個未打開的UDP埠發送一個數據包時,會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發現哪個埠是關閉的。UDP和ICMP錯誤都不保證能到達,因此這種掃描器必須還實現在一個包看上去是丟失的時候能重新傳輸。這種掃描方法是很慢的,因為RFC對ICMP錯誤消息的產生速率做了規定。同樣,這種掃描方法需要具有root許可權。 掃描 當非root用戶不能直接讀到埠不能到達錯誤時,Linux能間接地在它們到達時通知用戶。比如,對一個關閉的埠的第二個write()調用將失敗。在非阻塞的UDP套接字上調用recvfrom()時,如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時,返回ECONNREFUSED-連接被拒絕。這就是用來查看埠是否打開的技術。 這並不是真正意義上的掃描。但有時通過ping,在判斷在一個網路上主機是否開機時非常有用。[2]
㈣ 我裝Oracle VM VirtualBox,用的是linux-ubuntu,但是裝完之後,把ubuntu導入之後運行,不成功,提示如圖,
朋友,電腦出現:內存不能為read,原因總結起來,有以下方面,偶爾出現,點:取消,即可!
(答案原創,本答案原作者:力王歷史)
1.電腦中了木馬或者有病毒在干擾!
試試:殺毒軟體,360安全衛士+360殺毒雙引擎版,或者金山衛士+金山毒霸,
建議:修復「高危」和「重要」漏洞!使用「木馬雲查殺」和「360殺毒」,
「全盤掃描」和「自定義掃描」病毒和木馬,刪除後,重啟電腦!
開機後,點開「隔離|恢復」,找到木馬和病毒,徹底刪除文件!
2.如果第1種方法不行,打開:「360安全衛士」,「木馬查殺」里的:「360系統急救箱」!
先「開始急救」,查殺完畢,刪除「可疑啟動項」和木馬,再重啟電腦!
然後點開「文件恢復」區,找到「可疑自啟動項」和木馬,點「徹底刪除」!
再點開「系統修復」,「全選」,再點「立即修復」!網路修復,立即修復,重啟電腦!
3.用「360安全衛士」,「系統修復」,一鍵修復!再:「清理插件」,立即掃描,立即清理:惡評插件!
4.你下載的「播放器」,或「聊天軟體」,或「IE瀏覽器」,或者「驅動」,或
「游戲」的程序不穩定,或者「版本太舊」!建議卸掉,下載新的,或將其升級
為「最新版本」!
5.軟體沖突,你安裝了兩款或兩款以上的同類軟體(如:兩款播放器,兩款
qq,或多款瀏覽器,多款殺毒軟體,多款網游等等)!它們在一起不「兼容」,
卸掉「多餘」的那一款!
6.卸載方法:你在電腦左下角「開始」菜單里找到「強力卸載電腦上的軟體」,找到多餘的那款卸掉! 卸完了再「強力清掃」!
或者「360安全衛士」,「軟體管家」,點開,第4項:「軟體卸載」,點開,找
到「多餘」和「類似」的軟體卸載!如:「播放器」,點開,留下「暴風」,卸載「快播」!如:「下載」:點開,留下「迅雷」,卸載「快車」!(看準了再卸,別把有用的卸了)
7.如果還是不行,去網上下載一個「read修復工具」,修復試試!
8.再不行,重啟電腦,開機後按「F8」,回車,回車,進到「安全模式」里,「高級啟動選項」,找到:「最後一次正確配置」,按下去試試,看看效果如何!
9.再不行,開始菜單,運行 ,輸入cmd, 回車,在命令提示符下輸入(復制即可) :
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1
粘貼,回車,再輸入:
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
回車!直到屏幕滾動停止為止,重啟電腦!
10.實在不行就「一鍵還原」系統或「重裝系統」!
如果對您有幫助,請記得採納為滿意答案,謝謝!祝您生活愉快!
vaela
㈤ linux系統下怎麼預防php木馬
現在我給大家講一下在linux下如何預防php木馬。1.首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那麼在httpd.conf里加上這么幾行: php_admin_valueopen_basedir /usr/local/apache/htdocs 這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤: Warning:open_basedirrestrictionineffect.Fileisinwrongdirectoryin/usr/local/apache/htdocs/open.phponline4等等。 2、防止php木馬執行webshell 打開safe_mode,在php.ini中設置disable_functions=passthru,exec,shell_exec,system二者選一即可,也可都選 3、防止php木馬讀寫文件目錄 在php.ini中的disable_functions=passthru,exec,shell_exec,system後面加上php處理文件的函數主要有fopen,mkdir,rmdir,chmod,unlink,dir fopen,fread,fclose,fwrite,file_exists
㈥ 如何防止Linux系統中木馬
Linux下的木馬通常是惡意者通過Web的上傳目錄的方式來上傳木馬到Linux伺服器,為做防護,我們可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲,逐一設卡防護。
1.開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序。
2.對上傳的內容進行檢測,檢測方式可通過程序、Web服務層、資料庫等層面控制。
3.控制上傳目錄的許可權以及非站點目錄的許可權。
4.傳上木馬文件後的訪問和執行控制。
5.對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
6.安裝殺毒軟體,定期監測查殺木馬。
7.配置伺服器防火牆及入侵檢測服務。
8.監控伺服器文件變更、進程變化、埠變化、重要安全日誌並及時報警。
㈦ Linux系統如何清除木馬
1、查看流量圖發現問題
查看的時候網頁非常卡,有的時候甚至沒有響應
2、內top動態查看進程
我馬上遠容程登錄出問題的伺服器,遠程操作很卡,網卡出去的流量非常大,通過top發現了一個異常的進程佔用資源比較高,名字不仔細看還真以為是一個Web服務進程。
4、結束異常進程並繼續追蹤
killall -9 nginx1
rm -f /etc/nginx1
幹掉進程之後,流量立刻下來了,遠程也不卡頓了,難道刪掉程序文件,幹掉異常進程我們就認為處理完成了么?想想也肯定沒那麼簡單的,這個是木馬啊,肯定還會自己生成程序文件(果然不出我所料,在我沒有搞清楚之前,後面確實又生成了)我們得繼續追查。
㈧ linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
㈨ linux里瀏覽器為什麼打不開視頻可以打開百度的網頁,但跳到別的網站就打不開了,說什麼被重置了
朋友,這是你的電腦「丟失」或「誤刪」了「系統文件」,或「系統文件」被病
毒和「頑固」木馬「破壞」,我給你8種方法:(答案原創,嚴禁盜用)
1.下載個:「360系統急救箱」!(安全模式下,聯網使用,效果更好!)
(注意:已經安裝了「360安全衛士」的朋友,直接打開「木馬雲查殺」,
點擊:快速掃描,掃描結束後,中間有:沒有問題,請用360急救箱,點擊它!)
(1)先點:「開始急救」查殺病毒,刪除後,「立即重啟」!
(2)重啟開機後,再點開「文件恢復」,全選,點:「徹底刪除文件」和「可
疑自啟動項」!
(3)再點開「系統修復」,「全選」,再「立即修復」文件!
(4)再點開:「dll文件恢復」,掃描一下,如果沒有就行了,如果有丟失,添
加恢復,手動添加,立即恢復!
(5)點開:「網路修復」,點:「開始修復」,重啟電腦!(視情況修復)
2。用「360安全衛士」里「系統修復」,點擊「使用360安全網址導航」,再
「全選」,「一鍵修復」,「返回」!
3。用「360安全衛士」的「掃描插件」,然後再「清理插件」,把它刪除!
4。再用「360殺毒雙引擎版」,勾選「自動處理掃描出的病毒威脅」,用「全盤
掃描」和「自定義掃描」,掃出病毒木馬,再點刪除!
重啟電腦後,來到「隔離區」,點「徹底刪除」!
5。使用360安全衛士的「木馬雲查殺」,全盤掃描,完畢再「自定義掃描」!
掃出木馬或惡意病毒程序,就點刪除!
重啟電腦後,來到「隔離區」,點「徹底刪除」!
6。如果還是不行,試試:「金山急救箱」的擴展掃描和「金山網盾」,一鍵修
復!或者:可牛免費殺毒,瀏覽器醫生,瀏覽器修復,立即掃描,立即修復!
7。再不行,重啟電腦,開機後,按F8,回車,回車,進到「安全模式」里,
「高級啟動選項」里,「最後一次正確配置」,按下去試試,看看效果!
8。實在不行,做「一鍵還原」系統!(方法:我的網路空間的博客里有)
㈩ Linux centos 6.5 異常進程與木馬查殺
都說Linux主機是非常安全的,但有時卻不見得,第二次碰上Linux中木馬了(我運氣這么好?)。
廢話不多說,直接進入主題。
一、狀況描述:
1、2017.06.19早上過來發現ssh連接不上,以及各個官網都訪問不了;
2、通過雲主機廠商後台登錄,發現nginx、tomcat、svn應用全部停止;
3、ping www.google.com (雲主機在US) 不通;
二、問題定位:
應該是雲主機被重啟了,同時斷開了外網(有些應用沒有設置為自啟動),於是重啟公網的網卡後,ssh就可以登錄了,手工啟動了nginx、
omcat、svn等應用,因為上次也發生過幾次這樣的情況,據雲廠商反饋,雲主機對外發送大量的網路包,導致流量巨大,具體在Linux主機上的
體現就是cpu一直100%左右撐死,於是我懷疑是不是這次也是對外發送巨大的流量包,導致雲主機廠商斷了主機的外網呢?通過top命令查看
進程發現並沒有cpu佔用過高的進程,就ifconfig 查看了下網卡情況,顯示網卡流量在2.4G左右(由於是事後了,沒有截到先前的圖),感覺很迅
速,於是我就又斷開了一次,就沒管了,到中午午休後,下午再次使用ifconfig,此時流量對外發送大量的流量包,累計流量竟然高達140G左右
(後面處理了,就累加了一點):
這情況顯示,肯定是中木馬,由於Linux主機上面沒有安裝一些關於流量分析的軟體,只從常用的top命令開始,發現並沒有cpu佔用很高的進程,
但發現有兩個從來沒見過的進程:MuYuHang 、LTF,通過 /proc/進程id 進入對應進程文件,ls -lh,發現可執行文件竟然指向了Tomcat bin目錄
跟上次又是多麼的相似,只是進程和文件名不一樣罷了,於是簡單的操作,kill -9 pid ,結果操作無效,很快進程起來,而且文件刪除不了,報
operation not permitted(我可是用root用戶執行的,難道還有root幹不了的事情?具體了解可查看資料 lsattr和),刪除後,過一會兒又自動恢
復。
三、ClamAV工具
關於ClamAV工具的用途以及安裝,請網路搜索相關介紹和安裝資料,大概說一下,ClamAV是Linux平台的一個木馬掃描工具,可以掃描哪些
文件被感染了(但不能自動清除這些病毒,沒有windows上面的殺毒軟體那麼強大),我安裝在/home/clamav目錄下。
四、解決辦法
通過命令 /home/clamav/bin/clamscan -r --bell -i /,掃描這個根目錄發現有不少的文件被感染了:
發現tomcat bin目錄下的2個文件果然是被感染的了,同時發現有幾個命令也被感染了如ps、netstat以及lsof,於是我清除了bsd-port這個目
錄,同時把pythno清理,對於命令可以通過,從同版本的linux 沒有問題的linux主機上面過來,刪除後進行覆蓋即可(也可以刪除重裝),
再把tomcat的文件刪除,以及異常的進程kill掉,再用clamav掃描發現沒有了,最後還需要檢查下/etc/init.d這個開機啟動的文件,檢查裡面自動啟
動的,我這個裡面就發現先前指向 /user/bin/bsd-port/knerl 這個,文件已經刪除了,我同時把對應的sh,注釋掉。目前來看,一切正常了。。。
五、總結
一次比較完整的定位問題,平時一般很少接觸到查收木馬的事情,碰上了就當學習,提升技能,只是不足,沒有搞清木馬是如何進來的,這
個需要後續不斷的學習。心好累,Linux主機第二次中木馬了。。。。