时间:2021-05-24
一、现象
AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。
二、 因此,对sz的主机进行了检查,步骤如下:
1、重启应用,发现应用的端口3456已经被占用,通过命令 lsof -i:3456 ,发现是用户tel的进程占用了该端口。
2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。
3、使用top命令,结果如下:
top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75
Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie
Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers
Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2
24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top
发现tel用户的进程pscan2,占用CPU资源达到100%,通过网上查找资料,发现pscan2是一个老美的木马,他重要特征是占用CPU非常大。
因此推断:主机被攻破,并被植入木马pscan。
三、查找木马pscan2
用root帐号su到tel,查看该用户目录,发现一个隐藏目录,名称是 “...” ,哦,名字比较迷惑人
,稍一大意就可能看不到,呵呵。进入目录查看,木马程序pscan2就是植入到这个目录下了。
#ls -al
总用量 84
drwx------ 5 503 503 4096 8月 24 10:26 .
drwxr-xr-x 4 root root 4096 2007-08-30 ..
drwxrwxr-x 6 503 503 4096 8月 24 09:54 ...
-rw------- 1 503 503 6936 8月 24 10:45 .bash_history
-rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout
-rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile
四、清除木马pscan,步骤如下:
1、删除用户tel所有进程
#pkill -9 -U tel
2、删除用户tel
#userdel tel
3、删除用户组时报错
#groupdel tel
groupdel: cannot remove user's primary group.
4、查找passwd、group文件,发现仍然有个用户bossnm属于tel用户组
group文件存在如下一行,其中503是用户组ID
tel:x:503:
在passwd中存在如下一行,其中503表示这个用户属于组ID为503的用户组
bossnm:x:500:503::/export/home/bossnm
5、删除bossnm用户及tel用户组
#userdel bossnm
#groupdel tel
6、删除tel用户下所有的木马文件
经过处理,系统已经恢复正常。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
有些时候,我们清除完病毒和木马之后,Windows桌面就会消失,怎么办呢。怎么找回桌面呢?以下6个步骤或能帮你: 第一步:尝试进入安全模式,如果安全模式下桌面
电脑清灰后反而变卡了的解决方法如下: 1、检查进程管理器,内存占用情况,做系统优化; 2、清理系统垃圾,清除插件、木马、病毒等等; 3、实在不行的话,可以
拼多多微信登录不了的解决方法是: 1、检查手机上网是否正常。 2、设定、查找应用程序管理器”、全部、微信、存储、清除数据及清除缓存。 3、重新输入微信号码
linux查找文件的方法是: 1、linux下最强大的搜索命令为”find“。它的格式为“find指定目录、指定条件、指定动作”; 2、使用locate搜索
linux查找文件命令的方法是: 1、linux下最强大的搜索命令为”find“。它的格式为“find指定目录、指定条件、指定动作”; 2、使用locate