某客户的一台Linux服务器 centos系统,服务器上部署了多个PHP网站,前段时间
被机房安全警告,说是流量向外发包,本身客户的服务器带宽就大,机房给到了500M,带宽
最近几天一直被占满,流量也比较异常,网站打开访问缓慢,客户无奈的找到我们,我们分
析是服务器中了木马后门,以及网站被上传了webshell.
根据以上客户服务器的特征,我们来进一步的分析与解决问题。
我们登录客户的linux服务器,进行安全检查,发现centos系统的PS文件被恶意替换,ps aux
|grep ps 如下图所示:
随即我们查看该PS目录,发现PS系统文件里的4个文件被恶意替换了,时间还是2017年11.08日的替换时间,下图所示:Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检
测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。 我们对替换的文件,拷贝到我们自己的安全服务器里,进行详细的木马检测与分析,我们先
来看下socket的连接状态。如下图:
发现多个IP反向连接我们服务器的6666端口,我们对IP进行溯源追踪发现,这个IP还解析了多个域名,看来这个木马后门不简单呀。域名如下: 8759698jc.com 然后我们又详细的对服务器进行安全检测,以及网站安全检测发现,网站被上传了恶意的木
马脚本,以及一句话木马后门脚本,通过对这些木马后门的详细分析,与前段时间互联网流
行的木马特征相对应,也就是国外的一个DDOS木马后门。下图所示:
木马在linux系统里的进程信息
清除linux服务器木马后门 一、杀掉恶意的进程.二、把PS系统替换的文件,删除掉,并从安全的服务器系统里拷贝一份过去。
三、删除linux服务器的启动项:
四、删除恶意的文件与目录.
Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测
试,安全服务于一体的网络安全服务提供商。
还没有评论,来说两句吧...