就安装了一个django的程序.
本人是linux新手.本来想重装的.但是上面又没有什么有价值的东西.就打算了解一下
这两个是什么程序? 怎么查找他是怎么进来的?全当学习一下linux安全吧.
看日志能看出他是怎么进来的吗?
就安装了一个django的程序.
本人是linux新手.本来想重装的.但是上面又没有什么有价值的东西.就打算了解一下
这两个是什么程序? 怎么查找他是怎么进来的?全当学习一下linux安全吧.
看日志能看出他是怎么进来的吗?
1、系统漏洞。如果是未知0day这种,那就没办法了。
2、应用程序。新系统又没装其它软件。
多半是被ssh爆破了。。。最简单的就是重装系统,用强密码。先断网,如果对方没改日志的话,是可以看到如何黑进来的。
像这种程序,大都是工具批量操作的,不存在针对性。。。
我们的一个小测试服务器中过这个病毒。这个应该是DDOS僵尸网路的病毒,占用的很多网路流量。
就像另外一个回答的那几个文章说的。病毒伪装成so文件,还注册了cron定时任务,自己复制好多份10个字母的随机名字,进程相互守护,而且伪装了proc信息。ps看到的是无害的普通进程名字。
很难杀,建议断网,按照那个文章多次才可以解决,把所有的副本、病毒体和定时任务都删除。
实在删不掉就重装好了。记得MySQL和SSH都要禁止root用户远程登录。这个病毒主要是远程猜测root密码。远程登录用别的用户,到时候sudo。
你是用命令cat /var/log/secure | grep Accepted就知道有哪些ip哪些用户名成功登陆过你的机器,
然后你再使用命令cat /var/log/secure | grep Accepted| grep -r 'ip' ip指你的ip地址,排除你以外的ip地址,如果发现非自己ip地址登录的记录,那么一般可以判定为是弱口令账号进来的
另外的要看你开启的服务了,这种挖矿机程序(cpu miner)一般都是自动种植的,常用的漏洞有redis空口令
有的也有Mysql弱口令,大多数弱口令类漏洞,要么就是你web应用的漏洞,这些漏洞大多数都需要提升权限才能变成root(如果你机器还没重装的话,我可以帮你分析一下,顺便取个样本,然后帮你清理)
15 回答8.4k 阅读
7 回答5.2k 阅读
4 回答4.4k 阅读✓ 已解决
4 回答4k 阅读
4 回答3.8k 阅读✓ 已解决
2 回答5.9k 阅读✓ 已解决
1 回答2.9k 阅读✓ 已解决
新手的话,直接重装吧,重装完首先做好一系列安全策略,再做其它。
可以了解下,类似:
https://www.kaisir.com/2015/0...
http://leomars.blog.51cto.com...
http://blog.csdn.net/fgf00/ar...