- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
- 免费享受企业级云安全服务
怎么查找服务器木马?服务器顽固木马怎么杀?
服务器因为长期处于与外界交互的状态,导致服务器的安全隐患非常大,如果服务器安全工作没有做好的话,就很容易受到外界的入侵。那么如果服务器中木马的话,应该怎么查找服务器木马?服务器顽固木马怎么杀?这里就为大家简单介绍下吧。
怎么查找服务器木马
怎么查找服务器木马?查找服务器木马其实和个人电脑的查找方法很类似,具体方法如下:
第一步:查看体系组及用户。假设发现administrators组内增加一个admin$或相类似的用户,那么有很大的或许性你的网站就已遭到了侵略;
第二步:查看管理员账户是否存在反常的登陆和刊出记载
挑选一切体系登录日记及体系刊出日记,并具体查看其登录ip,核实该ip是否为常用的管理员登录ip;
第三步:查看服务器是否存在反常启动项
第四步:使用服务器安全狗对服务器进行全盘扫描查杀
服务器顽固木马怎么杀
服务器顽固木马怎么杀?windows服务器一般都是通过工具查杀,可以使用服务器安全狗进行清理。linux也可以使用工具清理,如果不想用工具,也可以通过下面的方式进行清理。
1、简单判断有无木马
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下命令到/root下
ps netstat ss lsof
3、删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
4、找出异常程序并杀死
5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)
我自己重新安装好像不行,我是找的正常的机器复制的命令。
#ps
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
#netstat
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
#lsof
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
#ss
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
关于怎么查找服务器木马以及服务器顽固木马怎么杀,就为大家介绍到这里。服务器中木马是很经常的事情,目前各个安全厂商的病毒库已经非常齐全了,市面上主流安全厂商的产品都能够清理现有的木马病毒,除非是新型的病毒可能需要时间破解录入病毒库,清除周期会比较常。如果遇到无法解决的顽固病毒,也可以找安全狗帮忙解决。