Linux 勒索处置指南 > 火麒麟 biu~

admin 2025年1月13日19:40:12评论2 views字数 538阅读1分47秒阅读模式

上面说到了 windows的 这篇说一说 linux的

linux杀毒 比较少,而且没多少人会去装。

如果linux出现勒索病毒,会有哪些特征呢

桌面出现勒索信,或者打开终端自动弹出。

Linux 勒索处置指南 > 火麒麟 biu~

创建的文件 出现异常

Linux 勒索处置指南 > 火麒麟 biu~

将火麒麟的linux系统对应的agent上传到主机上,进行信息收集。(若文件无法上传,输入 init3 将桌面模式转换为命令行模式)

Linux 勒索处置指南 > 火麒麟 biu~

输入start

Linux 勒索处置指南 > 火麒麟 biu~

服务器启动gui,导入数据 即可。

Linux 勒索处置指南 > 火麒麟 biu~

通过火麒麟工具,依次对用户,启动项,网络,日志,历史命令排查等。

  在用户界面,除了root登录 还存在一个gdm用户

Linux 勒索处置指南 > 火麒麟 biu~

在进程中,找到了病毒进程,和具体路径,以及释放了so库文件

Linux 勒索处置指南 > 火麒麟 biu~

在启动项中,病毒添加了守护进程

Linux 勒索处置指南 > 火麒麟 biu~

服务排查,无异常

Linux 勒索处置指南 > 火麒麟 biu~

网络排查,无异常

Linux 勒索处置指南 > 火麒麟 biu~

历史命令排查,发现在opt目录,解压了病毒文件

Linux 勒索处置指南 > 火麒麟 biu~

再然后执行了相关依赖下载,执行 病毒文件

Linux 勒索处置指南 > 火麒麟 biu~

系统安全日志排查,存在认证失败的单词,短时间内很多次

Linux 勒索处置指南 > 火麒麟 biu~

上面操作后,得到了病毒的存放位置,已经登录的方式。

1.  删除病毒文件 在root下gonnacry;

2.  删除opt下的压缩包和解压文件;

3.  删除病毒释放的so库文件;

4.  删除root下.bashrc 存在的内容;

5.  更换ssh弱口令密码;

6.  删除gdm用户。

原文始发于微信公众号(轩公子谈技术):Linux 勒索处置指南 --> 火麒麟 biu~

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月13日19:40:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux 勒索处置指南 > 火麒麟 biu~https://cn-sec.com/archives/1092925.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息