主頁 > 知識庫 > Linux木馬pscan2查找與清除步驟

Linux木馬pscan2查找與清除步驟

熱門標簽:南通電銷外呼系統(tǒng)排名 營業(yè)廳外呼系統(tǒng)有錄音嗎 地圖標注和視頻彩鈴制作生意 信陽智能外呼系統(tǒng)聯(lián)系方式 地圖標注怎么兼職 合力億捷外呼系統(tǒng)如何解壓安裝 滁州外呼系統(tǒng)接口對接 宿松百度地圖標注 南京電銷外呼系統(tǒng)廠家

一、現(xiàn)象

AH現(xiàn)場的程序是分布式部署,除了程序的配置文件不同外,并無其他不同。最近地市sz頻繁發(fā)生工單處理錯誤的故障,而其他地市運行一直很穩(wěn)定。

二、 因此,對sz的主機進行了檢查,步驟如下:
1、重啟應(yīng)用,發(fā)現(xiàn)應(yīng)用的端口3456已經(jīng)被占用,通過命令 lsof -i:3456 ,發(fā)現(xiàn)是用戶tel的進程占用了該端口。
2、通過命令ps,發(fā)現(xiàn)用戶tel的進程熟非常多,但在我們的系統(tǒng)中,并未創(chuàng)建過用戶tel。
3、使用top命令,結(jié)果如下:

top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75
Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie
Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers
Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2
24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top
發(fā)現(xiàn)tel用戶的進程pscan2,占用CPU資源達到100%,通過網(wǎng)上查找資料,發(fā)現(xiàn)pscan2是一個老美的木馬,他重要特征是占用CPU非常大。
因此推斷:主機被攻破,并被植入木馬pscan。

三、查找木馬pscan2

用root帳號su到tel,查看該用戶目錄,發(fā)現(xiàn)一個隱藏目錄,名稱是 “...” ,哦,名字比較迷惑人
,稍一大意就可能看不到,呵呵。進入目錄查看,木馬程序pscan2就是植入到這個目錄下了。
#ls -al
總用量 84
drwx------ 5 503 503 4096 8月 24 10:26 .
drwxr-xr-x 4 root root 4096 2007-08-30 ..
drwxrwxr-x 6 503 503 4096 8月 24 09:54 ...
-rw------- 1 503 503 6936 8月 24 10:45 .bash_history
-rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout
-rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile

四、清除木馬pscan,步驟如下:

1、刪除用戶tel所有進程
#pkill -9 -U tel
2、刪除用戶tel
#userdel tel
3、刪除用戶組時報錯
#groupdel tel
groupdel: cannot remove user's primary group.
4、查找passwd、group文件,發(fā)現(xiàn)仍然有個用戶bossnm屬于tel用戶組
group文件存在如下一行,其中503是用戶組ID
tel:x:503:
在passwd中存在如下一行,其中503表示這個用戶屬于組ID為503的用戶組
bossnm:x:500:503::/export/home/bossnm
5、刪除bossnm用戶及tel用戶組
#userdel bossnm
#groupdel tel
6、刪除tel用戶下所有的木馬文件

經(jīng)過處理,系統(tǒng)已經(jīng)恢復(fù)正常。

標簽:衢州 新余 山南 銅陵 保定 潛江 麗水 運城

巨人網(wǎng)絡(luò)通訊聲明:本文標題《Linux木馬pscan2查找與清除步驟》,本文關(guān)鍵詞  Linux,木馬,pscan2,查找,與,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Linux木馬pscan2查找與清除步驟》相關(guān)的同類信息!
  • 本頁收集關(guān)于Linux木馬pscan2查找與清除步驟的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章