putty和WinSCP蓝冠官网后门检查及清理方式

蓝冠怎么收费的,蓝冠手机客户端,蓝冠怎么收费的,

检查 /var/log 是否被删除 # /usr/bin/stat /var/log
如果被删除了,蓝冠官网 说明中招了
查看 /var/log 文件夹内容 # ls -al /var/log
如果文件很少,说明中招了
监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f | /bin/grep syslog
如果有名称为fsyslog或osyslog的进程,说明中招了,蓝冠注册平台 注意不要和正常的系统日志进程混淆
检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
如果你分不清,请回本贴
检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
如果你分不清,请回本贴
检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep ':82'
如果有,而你又没设置过,说明已经中招了
检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep '98.' --color
如果有,说明已经中招了
检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,蓝冠代理 检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
/usr/bin/find /etc -name '.' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color /usr/bin/find /lib -name '.' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了
恢复系统日志
查看系统日志文件夹 # ls -al /var/log
创建系统日志文件夹 # /bin/mkdir /var/log
如果被删除的话需要创建
查看系统日志服务 # /usr/bin/find /etc/init.d/ -name 'log'
需要区分出你的服务器所使用的日志服务
关闭系统日志服务 # /sbin/service syslog stop
你的服务器的日志服务的名称可能是另外一个名字
启动系统日志服务 # /sbin/service syslog start
你的服务器的日志服务的名称可能是另外一个名字
创建错误登录日志文件 # /bin/touch /var/log/btmp
设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp
设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp
创建登录日志文件 # /bin/touch /var/log/wtmp
设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp
设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp
恢复SELinux(安全增强Linux)设置
查看 SELinux 状态 # /usr/sbin/sestatus -v
检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log
恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log
检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null

分享到:
No Response
Comment (0)
Trackback (0)