日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

再杀木马

發布時間:2023/12/16 编程问答 25 豆豆
生活随笔 收集整理的這篇文章主要介紹了 再杀木马 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

公司環境由于弱口令,又一次中招了。

這次木馬不像上次那樣簡簡單單刪除了。

一直有個/bin/njKA*** 的進程啟動。殺了又有。

試著刪了后創建同名文件并且加上i屬性:發現問題了:chattr命令不能用。

ll查看chattr權限:000

蛋疼,可執行權限沒了。試著加上x,發現權限不夠。

用lsattr查看chattr的屬性,結果提示lsattr無此命令。


從其他機器copy lsattr命令過來。查看后發現chattr命令被加上了i屬性。所以無法修改。

沒辦法了么?當然不是:我們再copy一個chattr命令過來,重命名為chattr2.

然后用chattr2 ?-i ?chattr

這樣chattr就可以增加x權限了。當然為了安全起見(萬一chattr命令被木馬替換了呢),直接刪了chattr。然后mv ?chattr2 ?chattr.


繼續考慮: 木馬刪了lsattr,說明不想讓我們查看文件是否具有i屬性。會不會是因為,所有木馬文件都具有i屬性呢?

按照這個思路, 查找所有具有i屬性的文件:

cat /dev/null > scan.log;for tmp in `ls /bin /sbin /usr/bin ?/usr/sbin`;do lsattr `which $tmp` |grep "\-i\-" >> scan.log;done


----i--------e- /bin/netstat
----i--------e- /bin/ps
----i--------e- /usr/bin/chattr
----i--------e- /usr/bin/cond
----i--------e- /usr/bin/kauditd
----i--------e- /usr/bin/kswapd
----i--------e- /usr/bin/osx
----i--------e- /usr/bin/scp
----i--------e- /usr/bin/ssh
----i--------e- /usr/bin/strings
----i--------e- /usr/bin/tack
----i--------e- /usr/bin/xfontsel
----i--------e- /usr/bin/zmap
----i--------e- /usr/sbin/lsof
----i--------e- /usr/sbin/ss
----i--------e- /usr/sbin/sshd

這么多程序被加上了i屬性。

我對比了下正常環境,這些都是沒有i屬性的。

所以說,這些命令都被木馬替換掉了。


那就全部替換掉。

替換途中提示有些文件在正常環境中不存在:

/usr/bin/cond
/usr/bin/kauditd
/usr/bin/kswapd
/usr/bin/tack
/usr/bin/xfontsel
/usr/bin/zmap


懷疑是木馬。刪了。

然后ps查看發現有很多kauditd進程: 正常環境中也有,不過都是帶中括號的。

類似

[root@localhost ~]# ps aux |grep kaudit
root ? ? ? 555 ?0.0 ?0.0 ? ? ?0 ? ? 0 ? ? ? ? ?S ? ?Jun02 ? 0:29 [kauditd]
root ? ? 13606 ?0.0 ?0.0 103256 ? 860 pts/5 ? ?S+ ? 12:01 ? 0:00 grep kaudit


殺掉這些命令相關進程。

之后感覺木馬基本殺光了。


P.S. 查看進程過程中發現一直有sshd: root [priv]等這樣的玩意。一開始以為又是什么木馬偽裝成sshd,后續google知道

原來是有人在試圖用ssh登錄機器。如果該進程一直存在,說明有人在暴力破解。

[root@localhost ~]# ps? -aux |grep sshd

Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root????? 4872? 0.0? 0.0? 86268? 3560 ???????? Ss?? 12:55?? 0:00 sshd: root@pts/1
root????? 7665? 0.0? 0.0? 64416? 1216 ???????? Ss?? 22:09?? 0:00 /usr/sbin/sshd
root???? 11568? 0.0? 0.0? 98196? 3968 ???????? Ss?? 22:53?? 0:00 sshd: root@pts/0
root???? 11575? 0.0? 0.0? 96828? 3772 ???????? Ss?? 22:53?? 0:00 sshd: unknown [priv]
sshd???? 11580? 0.0? 0.0? 65760? 1728 ???????? S??? 22:53?? 0:00 sshd: unknown [net]
root???? 11583? 0.4? 0.0? 97200? 4204 ???????? Ss?? 22:53?? 0:00 sshd: root [priv]
sshd???? 11585? 0.0? 0.0? 65760? 1632 ???????? S??? 22:53?? 0:00 sshd: root [net]

總結

以上是生活随笔為你收集整理的再杀木马的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。