¿Cómo matar pscan2 Trojan bajo Linux?

pscan2 es un escáner pirata informático que ocupa una gran cantidad de CPU, por lo que es necesario eliminar el troyano a tiempo. ¿Cómo encontrar y eliminar el troyano pscan2? Echemos un vistazo a cómo matar al troyano pscan2 en Linux.

En primer lugar, el fenómeno

programa de AH-sitio se distribuye despliegue, archivos de configuración, además de diferentes programas, pero no hay ninguna otra diferencia. Recientemente, ha habido fallas frecuentes en los errores de procesamiento de órdenes de trabajo en otras ciudades, y otras ciudades han estado funcionando de manera muy estable.

En segundo lugar, por lo tanto, se comprueba el host de sz, los pasos son los siguientes:

1, reinicie la aplicación, se encontró que el puerto de la aplicación 3456 ha sido ocupado, a través del comando lsof -i: 3456, encontrado Es el proceso del usuario tel que ocupa el puerto.

2, a través del comando ps, encontró que el proceso de tel del usuario es muy familiar, pero en nuestro sistema, el tel del usuario no se ha creado.

3, usando el comando superior, los resultados son los siguientes:

top - 09:58:54 hasta 524 días, 14:31, 4 usuarios, carga promedio: 3.44, 4.98, 5.75

Tareas: 1715 en total, 7 en ejecución, 1699 durmiendo, 0 parado, 9 zombis

Cpu (s): 23.3% us, 12.3% sy, 0.0% ni, 64.4% id, 0.0% wa, 0.0% hi, 0.0% si

Mem: 4147208k total, 2740256k utilizado, 1406952k gratis, 23976k buffers

Swap: 4079600k total, 779100k usado, 3300500k free, 638748k almacenado en caché

PID USUARIO PR NI VIRT RES SHR S% CPU% MEM TIME + COMMAND

24201 tel 25 0 1468 476 396 R 100 0.0 0: 58.78 pscan2

24510 root 17 0 4336 1916 760 R 4 0.0 0: 00.30 top

El proceso de usuario de tel pscan2, que ocupa los recursos de la CPU para alcanzar el 100%, a través de la búsqueda en línea de información, encontró que pscan2 es un antiguo y hermoso troyano, su característica importante es que la CPU es muy grande.

Por lo tanto, se infiere que el host se vio comprometido y se implantó con un troyano pscan.

Tercero, busque Trojan pscan2

Use la cuenta raíz su para llamar, ver el directorio de usuarios y buscar un directorio oculto, el nombre es ". . . ", oh, el nombre es más confuso

, un poco grande puede no ver, eh, eh. En la vista de directorio, el programa troyano pscan2 se implanta en este directorio.

#ls -al

Uso total 84

drwx ------ 5 503 503 4096 24 de agosto 10:26.

drwxr-xr-x 4 root root 4096 2007-08-30. .

drwxrwxr-x 6 503 503 4096 24 de agosto 09:54. . .

-rw ------- 1 503 503 6936 24 de agosto 10:45 .bash_history

-rw-r - r-- 1 503 503 24 2006-11- 03 .bash_logout

-rw-r - r-- 1 503 503 191 2006-11-03 .bash_profile

4. Borre el troyano pscan, los pasos son los siguientes:

1, elimine el usuario tel todos los procesos

#pkill -9 -U tel

2, elimine el usuario tel

#userdel tel

3, elimine el usuario Error de grupo [

#groupdel tel

groupdel: no se puede eliminar el grupo primario del usuario.

4, busque contraseña, busque el archivo del grupo y aún encuentre un usuario que bossnm pertenece a tel Grupo de usuarios

El archivo de grupo existe de la siguiente manera, donde 503 es el ID del grupo de usuarios

tel: x: 503:

La siguiente línea existe en passwd, donde 503 indica a este usuario Grupo de usuarios que pertenece al ID de grupo 503

bossnm: x: 500: 503 :: /export /home /bossnm

5, eliminar usuario de bossnm y grupo de usuarios de tel.

#userdel bossnm

#groupdel tel

6. Eliminar t Todos los archivos troyanos bajo el usuario

Después del procesamiento, el sistema ha vuelto a la normalidad.

Lo anterior es la introducción del método de búsqueda y eliminación de troyanos pscan2 en Linux. Si su computadora golpea accidentalmente el troyano, use el método descrito anteriormente para eliminarlo.