⑴pscan是一个黑客扫描程序,占用CPU非常大,所以中了该木马就要及时清除,那么要如何查找和清除pscan木马呢?下面随小编一起来了解下Linux下如何查杀pscan木马吧。
⑵AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。
⑶二、 因此,对sz的主机进行了检查,步骤如下:
⑷、重启应用,发现应用的端口已经被占用,通过命令 lsof -i: ,发现是用户tel的进程占用了该端口。
⑸、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。
⑹、使用top命令,结果如下:
⑺top - :: up days, :, users, load average: ., ., .
⑻Tasks: total, running, sleeping, stopped, zombie
⑼Cpu(s: .% us, .% sy, .% ni, .% id, .% wa, .% hi, .% si
⑽Mem: k total, k used, k free, k buffers
⑾Swap: k total, k used, k free, k cached
⑿PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ MAND
⒀ tel R . :. pscan
⒁ root R . :. top
⒂发现tel用户的进程pscan,占用CPU资源达到%,通过网上查找资料,发现pscan是一个老美的木马,他重要特征是占用CPU非常大。
⒃因此推断:主机被攻破,并被植入木马pscan。
⒄三、查找木马pscan
⒅用root帐号su到tel,查看该用户目录,发现一个隐藏目录,名称是 “。。。” ,哦,名字比较迷惑人
⒆,稍一大意就可能看不到,呵呵。进入目录查看,木马程序pscan就是植入到这个目录下了。
⒇drwx------ 月 : 。
⒈drwxr-xr-x root root -- 。。
⒉drwxrwxr-x 月 : 。。。
⒊-rw------- 月 : .bash_history
⒋-rw-r--r-- -- .bash_logout
⒌-rw-r--r-- -- .bash_profile
⒍四、清除木马pscan,步骤如下:
⒎、删除用户tel所有进程
⒏#pkill - -U tel
⒐、删除用户tel
⒑#userdel tel
⒒、删除用户组时报错
⒓#groupdel tel
⒔groupdel: cannot remove user‘s primary group.
⒕、查找passwd、group文件,发现仍然有个用户bossnm属于tel用户组
⒖group文件存在如下一行,其中是用户组ID
⒗在passwd中存在如下一行,其中表示这个用户属于组ID为的用户组
⒘bossnm:x::::/export/home/bossnm
⒙、删除bossnm用户及tel用户组
⒚#userdel bossnm
⒛#groupdel tel
①、删除tel用户下所有的木马文件
②经过处理,系统已经恢复正常。
③上面就是Linux下pscan木马查找和清除的方法介绍了,如果你的电脑不慎中了该木马,就使用上面介绍的方法将其消灭掉吧。