Linux如何查殺pscan2木馬

Linux如何查殺pscan2木馬

　　pscan2是一個黑客掃描程序，非常損害電腦，所以中了該木馬就要及時清除，那么如何使用Linux查找和清除pscan2木馬呢?下面由小編為大家搜集的Linu何查殺pscan2木馬的方式，希望對大家有用!

　　一、現(xiàn)象

　　AH現(xiàn)場的程序是分布式部署，除了程序的配置文件不同外，并無其他不同。最近地市sz頻繁發(fā)生工單處理錯誤的故障，而其他地市運行一直很穩(wěn)定。

　　二、 因此，對sz的主機進行了檢查，步驟如下：

　　1、重啟應(yīng)用，發(fā)現(xiàn)應(yīng)用的端口3456已經(jīng)被占用，通過命令 lsof -i:3456 ，發(fā)現(xiàn)是用戶tel的進程占用了該端口。

　　2、通過命令ps，發(fā)現(xiàn)用戶tel的進程熟非常多，但在我們的'系統(tǒng)中，并未創(chuàng)建過用戶tel。

　　3、使用top命令，結(jié)果如下：

　　top - 09:58:54 up 524 days， 14:31， 4 users， load average： 3.44， 4.98， 5.75

　　Tasks： 1715 total， 7 running， 1699 sleeping， 0 stopped， 9 zombie

　　Cpu(s)： 23.3% us， 12.3% sy， 0.0% ni， 64.4% id， 0.0% wa， 0.0% hi， 0.0% si

　　Mem： 4147208k total， 2740256k used， 1406952k free， 23976k buffers

　　Swap： 4079600k total， 779100k used， 3300500k free， 638748k cached

　　PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

　　24201 tel 25 0 1468 476 396 R 100 0.0 0:58.78 pscan2

　　24510 root 17 0 4336 1916 760 R 4 0.0 0:00.30 top

　　發(fā)現(xiàn)tel用戶的進程pscan2，占用CPU資源達到100%，通過網(wǎng)上查找資料，發(fā)現(xiàn)pscan2是一個老美的木馬，他重要特征是占用CPU非常大。

　　因此推斷：主機被攻破，并被植入木馬pscan。

　　三、查找木馬pscan2

　　用root帳號su到tel，查看該用戶目錄，發(fā)現(xiàn)一個隱藏目錄，名稱是 “。。�！� ，哦，名字比較迷惑人

　　，稍一大意就可能看不到，呵呵。進入目錄查看，木馬程序pscan2就是植入到這個目錄下了。

　　#ls -al

　　總用量 84

　　drwx------ 5 503 503 4096 8月 24 10:26 。

　　drwxr-xr-x 4 root root 4096 2007-08-30 。。

　　drwxrwxr-x 6 503 503 4096 8月 24 09:54 。。。

　　-rw------- 1 503 503 6936 8月 24 10:45 .bash_history

　　-rw-r--r-- 1 503 503 24 2006-11-03 .bash_logout

　　-rw-r--r-- 1 503 503 191 2006-11-03 .bash_profile

　　四、清除木馬pscan，步驟如下：

　　1、刪除用戶tel所有進程

　　#pkill -9 -U tel

　　2、刪除用戶tel

　　#userdel tel

　　3、刪除用戶組時報錯

　　#groupdel tel

　　groupdel： cannot remove user‘s primary group.

　　4、查找passwd、group文件，發(fā)現(xiàn)仍然有個用戶bossnm屬于tel用戶組

　　group文件存在如下一行，其中503是用戶組ID

　　tel:x：503：

　　在passwd中存在如下一行，其中503表示這個用戶屬于組ID為503的用戶組

　　bossnm:x：500:503：：/export/home/bossnm

　　5、刪除bossnm用戶及tel用戶組

　　#userdel bossnm

　　#groupdel tel

　　6、刪除tel用戶下所有的木馬文件

　　經(jīng)過處理，系統(tǒng)已經(jīng)恢復(fù)正常。

【Linux如何查殺pscan2木馬】相關(guān)文章：

如何查殺木馬02-23

怎么查殺木馬02-25

如何查殺電腦病毒與木馬程序01-15

電腦中的木馬病毒如何徹底查殺09-01

如何去查殺電腦病毒與木馬程序01-18

如何根據(jù)PID進程號查殺病毒木馬01-30

查殺電腦木馬病毒方法08-31

簡單教你查殺查殺木馬和清理電腦的方法02-04

用金山衛(wèi)士查殺木馬的步驟02-18