Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

Linux服务器安全检测之木马后门清除



              某客户的一台Linux服务器 centos系统,服务器上部署了多个PHP网站,前段时间

被机房安全警告,说是流量向外发包,本身客户的服务器带宽就大,机房给
到了500M,带宽

最近几天一直被占满,流量也比较异常,网站打开访问缓慢,客户
无奈的找到我们,我们分

析是服务器中了木马后门,以及网站被上传了webshell.

 
 
根据以上客户服务器的特征,我们来进一步的分析与解决问题。
 
我们登录客户的linux服务器,进行安全检查,发现centos系统的PS文件被恶意替换,ps aux

|grep ps 如下图所示:

 
 
随即我们查看该PS目录,发现PS系统文件里的4个文件被恶意替换了,时间还是2017年11.08

日的替换时间,下图所示:Sine安全公司是一家专注于:服务器安全
网站安全、网站安全检

测、网站漏洞修复,渗透测试,安全服务于一体的网络安全
服务提供商。
 
 
我们对替换的文件,拷贝到我们自己的安全服务器里,进行详细的木马检测与分析,我们先

来看下socket的连接状态。如下图:
 
发现多个IP反向连接我们服务器的6666端口,我们对IP进行溯源追踪发现,这个IP还解析了

多个域名,看来这个木马后门不简单呀。域名如下:
 
8759698jc.com
 
然后我们又详细的对服务器进行安全检测,以及网站安全检测发现,网站被上传了恶意的木

马脚本,以及一句话木马后门脚本,通过对这些木马后门的详细分析,与
前段时间互联网流

行的木马特征相对应,也就是国外的一个DDOS木马后门。下图所
示:
 
木马在linux系统里的进程信息
 
清除linux服务器木马后门
 
一、杀掉恶意的进程.
 
二、把PS系统替换的文件,删除掉,并从安全的服务器系统里拷贝一份过去。
 
三、删除linux服务器的启动项:
 
四、删除恶意的文件与目录.
 
Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测

试,安全服务于一体的网络安全服务提供商。
分享: