linux 木马清理过程

服务器出现异常，完全无法访问，ssh登陆都极其缓慢

解决过程

top 查看系统状态，发现 load average 平均负载值非常高，再看排名第一的进程，是一个不认识的进程名：minerd

感觉是被入侵了，上网搜了下minerd是什么东西，是个挖矿程序，看来的确被入侵了，被抓来当矿工了

查看进程信息

ps -ef | grep minerd

是tmp下的一个文件

马上执行 kill 杀掉这个进程，并删除对应文件

再次 top 命令查看，资源占用恢复正常

因为木马有自我改名、自我复制、自动运行的能力，担心还会有问题，就继续观察

果然过了一段时间后，资源又被占满，这次就不是 minerd 进程了，是一个名为 klll 的新进程

再次执行 kill 杀掉进程和删除对应文件

补漏过程

（1）检查定时任务列表，删除一切我不清楚的任务

crontab -l

more /etc/crontab

（2）检查开机自启动配置，移除一切非必须的程序

chkconfig --list | grep 3:on

more /etc/rc.d/rc.local

more /etc/rc.local

（3）检查用户列表，把非必要的用户都设置为不允许登陆，并修改现有用户密码，提高密码强度

（4）更改ssh端口，设置ssh登录IP的白名单

重启系统，观察一段后，一切正常

时间： 2024-12-17 15:46:50

linux 木马清理过程的相关文章

Linux系统--Linux的启动过程

Linux系统--Linux启动过程 CentOS 启动流程: POST --> Boot Sequence(BIOS) --> Boot Loader (MBR) --> Kernel(ramdisk) --> rootfs --> switchroot --> /sbin/init -->(/etc/inittab, /etc/init/*.conf) --> 设定默认运行级别 --> 系统初始化脚本 --> 关闭或启动对应级别下的服务 --

linux服务器启动过程

随着Linux的应用日益广泛,特别是在网络应用方面,有大量的网络服务器使用Linux操作系统.由于Linux的桌面应用和Windows相比还有一定的差距,所以在企业应用中往往是Linux和Windows操作系统共存形成异构网络.在服务器端大多使用Linux和Unix的,目前Linux的擅长应用领域是单一应用的基础服务器应用,譬如DNS和DHCP服务器.Web服务器.目录服务器.防火墙.文件和打印服务器.Intranet代理服务器 .启动 Linux 系统的过程包括很多阶段.不管您是引导一个标

Linux的启动过程

昨天笔试考了一道关于linux系统启动的过程,当时没答上来,现在整理出来(其实并不复杂). 按下电源按钮的直到欢迎页出来之后,linux总共做的事可以分为五步来完成. 1. BIOS加电自检: 加电自检,检测硬件设备.然后按照cmos上面的顺序来搜索处在活动状态下的可以引导的设备.可以是光驱.软盘.USB等. 2. 加载主引导加载程序(MBR): 主引导程序是一个512字节的映像.包含一点机器码还有一个小的分区. 主引导程序的任务就是查找并且加载处在硬盘分区上的次引导程序.通过分区表查找活动分区

linux文件系统写过程简析

linux写入磁盘过程经历VFS -> 页缓存(page cache) -> 具体的文件系统(ext2/3/4.XFS.ReiserFS等) -> Block IO ->设备驱动 -> SCSI指令(或者其他指令),总体来说linux文件写入磁盘过程比较复杂 1.VFS(虚拟文件系统) Linux中采用了VFS的方式屏蔽了多个文件系统的差别, 当需要不同的设备或者其他文件系统时,采用挂载mount的方式访问其他设备或者其他文件系统(这里可以把文件系统理解为具体的设备).正是

【转载】简述Linux的启动过程

原文:简述Linux的启动过程本文将简单介绍一下Linux的启动过程,希望对那些安装Linux的过程中遇到了问题的朋友有些帮助声明:本人没用过UEFI模式和GPT分区格式,所有关于这两部分的内容都是网络上找的资料,仅供参考. 典型启动顺序计算机通电后,CPU开始从一个固定的地址加载代码并开始执行,这个地址就是BIOS的驱动程序所在的位置,于是BIOS的驱动开始执行. BIOS驱动首先进行一些自检工作,然后根据配置的启动顺序,依次尝试加载启动程序.比如配置的启动顺序是CD->网卡01->U

linux的引导过程和服务控制

引导过程和服务控制要求: ? 设置Linux系统每次开机后自动进入字符模式界面. 步骤: 编辑/etc/inittab文件,将默认运行级别修改为3.如图所示: ? 使用ntsysv工具同时调整2.3.4.5运行级别中的服务状态,关闭下列服务:anacron.atd.avahi-daemon.Bluetooth.cups.firstboot.hidd.hplip.ip6tables.iptables.isdn.mcstrans.mdmonitor.nfslock.pcscd.portmap.re

回眸总结linux的启动过程

学弟问我linux的启动过程,突然被雷到了,竟然忘的那么透彻,脑袋飘来6个字--"岁月是把杀猪刀",于是恶补 ,写成日志,起码原理上的东西不能丢,发展才是硬道理,最近做一个高并发(70万)的服务测试中也深深感受到对linux系统的理解还需要更加的深刻,废话不多说,总结如下: 1.系统加电后,bios读取硬件信息,读取启动设备,读取0磁头0柱面的1扇区的主引导记录mbr,并将启动控制权移交给mbr; 2.mbr有512字节三部分组成,其中前446字节是bootloader主引

linux 内存清理释放命令

linux 内存清理/释放命令 1.清理前内存使用情况 free -m 2.开始清理 echo 1 > /proc/sys/vm/drop_caches 3.清理后内存使用情况 free -m 4.完成! 查看内存条数命令: dmidecode | grep -A16 "Memory Device$" ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ # sync # echo 1 > /proc/s

Linux下清理内存和Cache方法

Linux下清理内存和Cache方法 /proc/sys/vm/drop_caches 频繁的文件访问会导致系统的Cache使用量大增 $ free -m total used free shared buffers cached Mem: 3955 3926 28 0 55 3459 -/+ buffers/cache: 411 3544 Swap: 5726 0 5726 free内存减少到几十兆,系统运行缓慢运行sync将dirty的内容写回硬盘 $sync 通过修改proc系统的dro