putty和WinSCP后门检查及清理方式
方式 检查 清理 后门 putty
2023-09-11 14:16:00 时间
如果文件很少,说明中招了
监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆 检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
如果你分不清,请回本贴 检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
如果你分不清,请回本贴 检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep :82
如果有,而你又没设置过,说明已经中招了 检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep 98\. --color
如果有,说明已经中招了 检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
/usr/bin/find /etc -name .* -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /lib -name .* -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /etc -name syslog -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /lib -name syslog -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了 恢复系统日志 查看系统日志文件夹 # ls -al /var/log 创建系统日志文件夹 # /bin/mkdir /var/log
如果被删除的话需要创建 查看系统日志服务 # /usr/bin/find /etc/init.d/ -name *log*
需要区分出你的服务器所使用的日志服务 关闭系统日志服务 # /sbin/service syslog stop
你的服务器的日志服务的名称可能是另外一个名字 启动系统日志服务 # /sbin/service syslog start
你的服务器的日志服务的名称可能是另外一个名字 创建错误登录日志文件 # /bin/touch /var/log/btmp 设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp 设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp 创建登录日志文件 # /bin/touch /var/log/wtmp 设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp 设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp 恢复SELinux(安全增强Linux)设置 查看 SELinux 状态 # /usr/sbin/sestatus -v 检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log 恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log 检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2 /dev/null 恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2 /dev/null 检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2 /dev/null
linux服务器怎么检查后门账户 在Linux系统里植入账户后门是一个极其简单高效的管理权限维持办法。hack在获得目标系统权限的情况下,利用建立一个操作系统账户当做持久化的聚集点,如此一来随时都可以利用工具链接到目标操作系统,实现对目标服务器进行长期操控的目的。依据获得的shell方式不一样,建立操作系统账户的办法也不尽相同,一般shell方式可分为交互模式和非交互模式这两种情况:
如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆 检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
如果你分不清,请回本贴 检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
如果你分不清,请回本贴 检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep :82
如果有,而你又没设置过,说明已经中招了 检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep 98\. --color
如果有,说明已经中招了 检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
/usr/bin/find /etc -name .* -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /lib -name .* -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /etc -name syslog -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
/usr/bin/find /lib -name syslog -printf %a %c %t %M %g:%u %p\n | /bin/grep 2012 --color
如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了 恢复系统日志 查看系统日志文件夹 # ls -al /var/log 创建系统日志文件夹 # /bin/mkdir /var/log
如果被删除的话需要创建 查看系统日志服务 # /usr/bin/find /etc/init.d/ -name *log*
需要区分出你的服务器所使用的日志服务 关闭系统日志服务 # /sbin/service syslog stop
你的服务器的日志服务的名称可能是另外一个名字 启动系统日志服务 # /sbin/service syslog start
你的服务器的日志服务的名称可能是另外一个名字 创建错误登录日志文件 # /bin/touch /var/log/btmp 设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp 设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp 创建登录日志文件 # /bin/touch /var/log/wtmp 设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp 设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp 恢复SELinux(安全增强Linux)设置 查看 SELinux 状态 # /usr/sbin/sestatus -v 检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log 恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log 检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2 /dev/null 恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2 /dev/null 检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2 /dev/null
linux服务器怎么检查后门账户 在Linux系统里植入账户后门是一个极其简单高效的管理权限维持办法。hack在获得目标系统权限的情况下,利用建立一个操作系统账户当做持久化的聚集点,如此一来随时都可以利用工具链接到目标操作系统,实现对目标服务器进行长期操控的目的。依据获得的shell方式不一样,建立操作系统账户的办法也不尽相同,一般shell方式可分为交互模式和非交互模式这两种情况:
相关文章
- grid - 网格项目对齐方式(Box Alignment)
- C# 字符串拼接性能探索 c#中+、string.Concat、string.Format、StringBuilder.Append四种方式进行字符串拼接时的性能
- Word处理控件Aspose.Words功能演示:使用 C++ 以编程方式将 Word 转换为 HTML 、MHTML
- 【Vue】通过自定义组件事件绑定,让【父组件】获取【子组件】的值(emit方式,图文+代码示例)
- 源码方式安装 lrzsz 库
- tomcat部署的几种方式总结!!!!!!!纯干货
- Allegro如何通过报表的方式检查单板上是否有假器件操作指导
- CSS中隐藏页面元素的几种方式和区别
- 监控系统整合告警平台实现邮件、短信、微信、电话语音和app等多方式报警
- Struts2 与 js 处理Get方式提交的中文参数乱码问题
- 多采用panda的数据处理方式
- iOS常用的存储方式介绍
- RabbitMQ消费端消息的获取方式(.Net Core)
- 树莓派 3b+型号 pip3方式 安装 TensorFlow
- 支付对接常用的加密方式及java代码实现
- 浅析 JSch - Java实现的SSH通讯包:jsch作用、4种认证方式、如何配置免密登录、ssh公钥检查机制及3种选项、如何实现sftp文件传输、maven依赖及具体使用示例代码
- 其它 以字典的方式 暴力破解 压缩文件密码