学习啦 > 学习电脑 > 操作系统 > Linux教程 > Linux下如何查杀pscan2木马

Linux下如何查杀pscan2木马

时间: 孙胜龙652 分享

Linux下如何查杀pscan2木马

  pscan2是一个黑客扫描程序,占用CPU非常大,所以中了该木马就要及时清除,那么要如何查找和清除pscan2木马呢?下面随学习啦小编一起来了解下Linux下如何查杀pscan2木马吧。

  一、现象

学习啦在线学习网   AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。

  二、 因此,对sz的主机进行了检查,步骤如下:

学习啦在线学习网   1、重启应用,发现应用的端口3456已经被占用,通过命令 lsof -i:3456 ,发现是用户tel的进程占用了该端口。

学习啦在线学习网   2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。

  3、使用top命令,结果如下:

学习啦在线学习网   top - 09:58:54 up 524 days, 14:31, 4 users, load average: 3.44, 4.98, 5.75

学习啦在线学习网   Tasks: 1715 total, 7 running, 1699 sleeping, 0 stopped, 9 zombie

学习啦在线学习网   Cpu(s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si

学习啦在线学习网   Mem: 4147208k total, 2740256k used, 1406952k free, 23976k buffers

  Swap: 4079600k total, 779100k used, 3300500k free, 638748k cached

  PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

学习啦在线学习网   24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2

  24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top

学习啦在线学习网   发现tel用户的进程pscan2,占用CPU资源达到100%,通过网上查找资料,发现pscan2是一个老美的木马,他重要特征是占用CPU非常大。

  因此推断:主机被攻破,并被植入木马pscan。

  三、查找木马pscan2

  用root帐号su到tel,查看该用户目录,发现一个隐藏目录,名称是 “。。。” ,哦,名字比较迷惑人

  ,稍一大意就可能看不到,呵呵。进入目录查看,木马程序pscan2就是植入到这个目录下了。

  #ls -al

  总用量 84

  drwx------ 5 503 503 4096 8月 24 10:26 。

  drwxr-xr-x 4 root root 4096 2007-08-30 。。

学习啦在线学习网   drwxrwxr-x 6 503 503 4096 8月 24 09:54 。。。

  -rw------- 1 503 503 6936 8月 24 10:45 .bash_history

  -rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout

  -rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile

  四、清除木马pscan,步骤如下:

学习啦在线学习网   1、删除用户tel所有进程

学习啦在线学习网   #pkill -9 -U tel

  2、删除用户tel

学习啦在线学习网   #userdel tel

  3、删除用户组时报错

  #groupdel tel

学习啦在线学习网   groupdel: cannot remove user‘s primary group.

学习啦在线学习网   4、查找passwd、group文件,发现仍然有个用户bossnm属于tel用户组

学习啦在线学习网   group文件存在如下一行,其中503是用户组ID

  tel:x:503:

学习啦在线学习网   在passwd中存在如下一行,其中503表示这个用户属于组ID为503的用户组

学习啦在线学习网   bossnm:x:500:503::/export/home/bossnm

  5、删除bossnm用户及tel用户组

  #userdel bossnm

学习啦在线学习网   #groupdel tel

  6、删除tel用户下所有的木马文件

学习啦在线学习网   经过处理,系统已经恢复正常。

  上面就是Linux下pscan2木马查找和清除的方法介绍了,如果你的电脑不慎中了该木马,就使用上面介绍的方法将其消灭掉吧。

307969