linux可疑程序,linux可疑程序追踪

今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)

连接虽挡,进程犹在

其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。

今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的另一个关于iptables的博客。

netstat时发现,还是能看到SYN_SENT的标志。反复netstat,可以发现这个连接没成功的话,过一段时间会消亡,然后又启动。

外部入侵?还是内有奸细

分析如果是那边连接过来,应该根本看不到这条记录,于是我怀疑是本地程序尝试连接可疑IP,也就是“被动攻击”。netstat可以看到进程的pid,然后到/proc/相应pid目录下用ls 可以看到pid执行的程序是什么。明天上图

查到的执行程序在/usr/bin下。因为这个入侵事件的时间应该是最近,所以用

ls -l |grep Aug

过滤出8月份的修改记录,然后发现了好多14年之前的文件,这些不会有问题。当然也有几个最近的大小为0的,名字乱七八糟,一看就知道不是系统文件,明天上图。

删除文件,却死而复生

大小为0的没什么异常,删掉之后就没了。关键就是修改日期是前天或大前天的几个文件,其中一个是可疑连接启动的程序。

root权限下

rm -f 文件名 [文件名]......

删除那几个文件。删掉之后,ls再看,又出现了个一样大小的乱名文件!修改日期就是刚刚!

netstat查看连接,可疑连接的pid对应的程序就是这个刚刚生成的文件,至此我已毛骨悚然。

也就是说,一个有个进程在盯着这个文件,保证它存在于这个目录下,而且在生成的同时运行了它,如果不干掉这个进程,我们永无安宁,但是我们上哪儿去找这个进程呢。

兵临城下,背水一战

windows平台下,杀毒软件成熟,不需要我们担心。linux这里完全就是摸瞎。

群友分析

自己看可疑进程

linux系统进程这块,我不是很熟,指不定kill一个进程就把系统弄崩,而且进程数量庞大,虽然一定可以找到,但是要多久就不好说了。

代码有可能嵌到节区里了

就像win平台下的PE病毒,病毒要执行的代码嵌入到可执行代码区。病毒课的课外作业我做的就是PE病毒,所以知道这个概念。但是并没有什么用,我没法手动取出被修改的节,单单它在哪个文件我都不知道。

等死or重装

这个群友给的真是下下策,我所知道的我用的这台ubuntu,光搭编译ceph的环境都不知道能不能搞定,学姐这台Fedora就更不清楚了。不过这个法子够彻底,无后患。

其他几个连接到这台机器的服务器,也可能被感染了,重装估计也避免不了了。

救命稻草,还是痴人说梦

就在我折腾这个Fedora的时候,轰的一声,周围全黑,停电了。回到实验室,学长学姐闹腾着,说东边全停了。有人还叫着“我的报告啊!”,想想自己设置的wps1分钟保存一次,真是庆幸。

回到寝室后,和一个经常用Debian的L同学聊了下,说可以算下可疑文件的MD5然后到网上查查,如果是比较严重的问题,应该有人已经遇到过了,否则就重装吧。

回到自己寝室,和室友聊着聊着,脑海里闪过ubuntu安装盘的试用界面,当时我是用这个搞定“重装win7,grub消失”这个问题的。跑到L那儿,问了下,他说试用启动的话,监视进程应该不会启动,可疑文件应该就不会重生了,不过如果这个监视进程不是这个可疑文件自己释放的,这个法子就没意义了。 明早我去实验室试试,祝我好运吧。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/308329.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

明源云创CI/CD技术演进

源宝导读:在敏捷迭代的过程中需要能够快速的把开发的代码集成打包部署到各个环节对应的环境中。为了高效稳定的完成这个工作,我们引入了DevOps实践理论,并形成了配套的CI/CD工具。本文将介绍云创的CI/CD工具如何演进的过程。一 、传统构建在最…

7-51 两个有序链表序列的合并 (20 分)(vector做法)

一 :题目 、已知两个非降序链表序列S1与S2,设计函数构造出S1与S2合并后的新的非降序链表S3。 输入格式: 输入分两行,分别在每行给出由若干个正整数构成的非降序序列,用−1表示序列的结尾(−1不属于这个序列&#xff…

linux qt4卸载,linux卸载QT4和安装QT5的方法

由于项目中需要用到QT的程序,因此安装QT5的软件支持库和QT开发环境是必须的:apt-get insatall qt5-defaultapt-get insatall qt-creatorQT5的库和QT Creator开发环境是独立运行的,如果QT Creator缺少QT5的库则程序写好了没法编译;…

7-53 两个有序序列的中位数 (25 分)(思路加详解)用STL容器中的set容器的自动去重过不去

一:题目 已知有两个等长的非降序序列S1, S2, 设计函数求S1与S2并集的中位数。有序序列A 0 ​ ,A 1 ​ ,⋯,A N−1 ​ 的中位数指A (N−1)/2 ​ 的值,即第⌊(N1)/2⌋个数(A 0 ​ 为第1个数)。 输入格式: 输入分三行。第一行给出序列的公共长…

Blazor带我重玩前端(五)

概述本文主要讨论Blazor事件内容,由于blazor事件部分很多,所以会分成上下两篇,本文为第一篇,后续会有第二篇。我们可以视组件是一个类,我们先看一下前文所说的Index.Razor页面生成的C#代码。在此,先补充一下…

请问在linux应该如何清除客户端本地dns缓存呢???,linux下清空dns缓存的方法-Ubuntu清空本地dns缓存...

linux Ubuntu下清空dns缓存的方法linux 设置Ubuntu DNS缓存,加速打开网页的速度大多数的 DNS 客户端会把域名解析的结果缓存到本地,这样可以提升对于同一个地址的访问速度。当您打开一个单页面的时候,通常会有多次对同一个域名的访问请求。基…

关于TensorFlow开发者证书,你想要的资源都在这里!

今天是TensorFlow开发者证书的一个里程碑,全球已经有500位开发者通过考试并顺利拿到了 TensorFlow Certificate。我也有幸在各位大佬的指点下,顺利通过考试,成为国内第7位拿到 TensorFlow Certificate 的开发者。按照Google官网的数据&#…

java中nextLine(),读取换行符的解决

一:问题描述 当输入完第一值后,就未能输入后来的字符串 package com.wyj.two;import java.util.Scanner;public class text {public static void main(String[] args) {Scanner in new Scanner(System.in);int temp in.nextInt();System.out.println…

linux 从不兼容的指针类型,警告:从不兼容的指针类型初始化

大家好,我已经触摸C了,所以我真的生锈了。我写了一个小程序来创建一个使用两个动态数组的矩阵。但是,我收到这个警告,我不明白为什么?我想我不太清楚指向指针的指针。有人能帮我指出我的问题在哪里吗?谢谢。…

Kubernetes 在知名互联网公司的(dotnet)落地实践

容器化背景本来生活网(benlai.com)是一家生鲜电商平台,公司很早就停止了烧钱模式,开始追求盈利。既然要把利润最大化,那就要开源节流,作为技术可以在省钱的方面想想办法。我们的生产环境是由 IDC 机房的 10…

Java银行开户,取钱,存钱,查询余额,退出。。。。。

一:上码 package com.wyj.two;import java.util.Scanner;/*** 封装的练习*/ public class Demo8 {public static void main(String[] args) {Scanner in new Scanner(System.in);Account account new Account();System.out.println("欢迎来到杰哥银行"…

linux开发亿连手机互联,亿连手机互联车载版下载-亿连手机互联车机版v6.6.1 安卓版-腾牛安卓网...

亿连手机互联车机版,交互一体,手机-导航仪应用深度融合;升级服务,依托手机OTA升级导航仪应用;流畅连接,双通道互联技术连接更流畅;全新界面,配合前装和后装专业市场;为您…

7-3 树的同构 (25 分)(思路加详解)来呀baby!!!!!!!!

一:题目 7-3 树的同构 (25 分) 给定两棵树T1和T2。如果T1可以通过若干次左右孩子互换就变成T2,则我们称两棵树是“同构”的。例如图1给出的两棵树就是同构的,因为我们把其中一棵树的结点A、B、G的左右孩子互换后,就得到另外一棵树…

Dapr微服务应用开发系列0:概述

题记:Dapr是什么,Dapr包含什么,为什么要用Dapr。Dapr是什么Dapr(Distributed Application Runtime),是微软Azure内部创新孵化团队的一个开源项目,皆在解决微服务应用开发过程的一些共性问题。以…

c语言 大数相加,c/c++开发分享C语言计算大数相加的方法

c/c开发分享问题描述输入两个整数a和b,输出这两个整数的和。a和b都不超过100位。算法描述由于a和b都比较大,所以不能直接使用语言中的标准输入格式输入包括两行,第一行为一个非负整数a,第二行为一个非负整数b。两个整数都不超过10…

你以为.NET Core仅仅是开源跨平台?试试Docker,刷新你的认知!

2016 年微软发布了 .NET Core 1.0,可谓是平地起惊雷,因为微软终于开源和跨平台了。但是一直到19年12月份发布了.NET Core3.1,开源社区的威力才展现出来,3个月增加了100w开发者,才真正吸引大厂的关注。但你以为仅仅是因…

7-2 一元多项式的乘法与加法运算 (20 分)(思路加详解+map做法)map真香啊 各个测试点的用例子 来吧宝贝!

一:题目 设计函数分别求两个一元多项式的乘积与和。 输入格式: 输入分2行,每行分别先给出多项式非零项的个数,再以指数递降方式输入一个多项式非零项系数和指数(绝对值均为不超过1000的整数)。数字间以空格分隔。 输…

c语言中注释部分二侧分界符为,C语言常见复习题(选择填空)及参考答案

C语言常见复习题及参考答案一、选择题1.下述标识符中,()是合法的用户标识符。A.A#CB.getchC.voidD.ab*2.在C语言中,字符型数据在内存中是以()形式存放的。A.原码B.BCD码C.反码D.ASCII码3.以下选项中不合法的用户标识符是()。A.abc.cB.fileC.MainD.PRONTF…

c语言的程序灵魂是什么,C语言 第二章 程序的灵魂--算法

《C语言 第二章 程序的灵魂--算法》由会员分享,可在线阅读,更多相关《C语言 第二章 程序的灵魂--算法(39页珍藏版)》请在人人文库网上搜索。1、第二章 程序的灵魂-算法,什么是程序? 计算机是机器-在求解某一问题时-需要有相应程序-程序是用计算机能够识…

Azure认知服务之表单识别器

认知服务Azure 认知服务的目标是帮助开发人员创建可以看、听、说、理解甚至开始推理的应用程序。Azure 认知服务中的服务目录可分为五大主要支柱类别:视觉、语音、语言、Web 搜索和决策。开发人员使用 Azure 认知服务能够轻松地将认知功能添加到其应用程序中。Azure…