系統(tǒng)之家 - 系統(tǒng)光盤下載網(wǎng)站!

當(dāng)前位置:系統(tǒng)之家 > 系統(tǒng)教程 > Linux查殺pscan2木馬

Linux下如何查殺pscan2木馬?

時(shí)間:2014-12-12 16:43:48 作者:qipeng 來源:系統(tǒng)之家 1. 掃描二維碼隨時(shí)看資訊 2. 請(qǐng)使用手機(jī)瀏覽器訪問: https://m.xitongzhijia.net/xtjc/20141212/32528.html 手機(jī)查看 評(píng)論

  pscan2是一個(gè)黑客掃描程序,占用CPU非常大,所以中了該木馬就要及時(shí)清除,那么要如何查找和清除pscan2木馬呢?下面隨小編一起來了解下Linux下如何查殺pscan2木馬吧。

Linux下如何查殺pscan2木馬?

  一、現(xiàn)象

  AH現(xiàn)場(chǎng)的程序是分布式部署,除了程序的配置文件不同外,并無(wú)其他不同。最近地市sz頻繁發(fā)生工單處理錯(cuò)誤的故障,而其他地市運(yùn)行一直很穩(wěn)定。

  二、 因此,對(duì)sz的主機(jī)進(jìn)行了檢查,步驟如下:

  1、重啟應(yīng)用,發(fā)現(xiàn)應(yīng)用的端口3456已經(jīng)被占用,通過命令 lsof -i:3456 ,發(fā)現(xiàn)是用戶tel的進(jìn)程占用了該端口。

  2、通過命令ps,發(fā)現(xiàn)用戶tel的進(jìn)程熟非常多,但在我們的系統(tǒng)中,并未創(chuàng)建過用戶tel。

  3、使用top命令,結(jié)果如下:

  top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75

  Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie

  Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si

  Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers

  Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached

  PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

  24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2

  24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top

  發(fā)現(xiàn)tel用戶的進(jìn)程pscan2,占用CPU資源達(dá)到100%,通過網(wǎng)上查找資料,發(fā)現(xiàn)pscan2是一個(gè)老美的木馬,他重要特征是占用CPU非常大。

  因此推斷:主機(jī)被攻破,并被植入木馬pscan。

  三、查找木馬pscan2

  用root帳號(hào)su到tel,查看該用戶目錄,發(fā)現(xiàn)一個(gè)隱藏目錄,名稱是 “。。。” ,哦,名字比較迷惑人

  ,稍一大意就可能看不到,呵呵。進(jìn)入目錄查看,木馬程序pscan2就是植入到這個(gè)目錄下了。

  #ls -al

  總用量 84

  drwx------ 5 503 503 4096 8月 24 10:26 。

  drwxr-xr-x 4 root root 4096 2007-08-30 。。

  drwxrwxr-x 6 503 503 4096 8月 24 09:54 。。。

  -rw------- 1 503 503 6936 8月 24 10:45 .bash_history

  -rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout

  -rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile

  四、清除木馬pscan,步驟如下:

  1、刪除用戶tel所有進(jìn)程

  #pkill -9 -U tel

  2、刪除用戶tel

  #userdel tel

  3、刪除用戶組時(shí)報(bào)錯(cuò)

  #groupdel tel

  groupdel: cannot remove user‘s primary group.

  4、查找passwd、group文件,發(fā)現(xiàn)仍然有個(gè)用戶bossnm屬于tel用戶組

  group文件存在如下一行,其中503是用戶組ID

  tel:x:503:

  在passwd中存在如下一行,其中503表示這個(gè)用戶屬于組ID為503的用戶組

  bossnm:x:500:503::/export/home/bossnm

  5、刪除bossnm用戶及tel用戶組

  #userdel bossnm

  #groupdel tel

  6、刪除tel用戶下所有的木馬文件

  經(jīng)過處理,系統(tǒng)已經(jīng)恢復(fù)正常。

  上面就是Linux下pscan2木馬查找和清除的方法介紹了,如果你的電腦不慎中了該木馬,就使用上面介紹的方法將其消滅掉吧。

標(biāo)簽 木馬 pscan2

發(fā)表評(píng)論

0

沒有更多評(píng)論了

評(píng)論就這些咯,讓大家也知道你的獨(dú)特見解

立即評(píng)論

以上留言僅代表用戶個(gè)人觀點(diǎn),不代表系統(tǒng)之家立場(chǎng)

其他版本軟件

    熱門教程

    人氣教程排行

    Linux系統(tǒng)推薦

    掃碼關(guān)注
    掃碼關(guān)注

    掃碼關(guān)注 官方交流群 軟件收錄