频道栏目
首页 > 安全 > 网络安全 > 正文

服务器中发现XorDDos木马的方法和清除步骤

2018-05-07 14:42:42      个评论    来源:gosenkle的专栏  
收藏   我要投稿

1、现象

1)cpu使用超高

2)网络流量异常

3)服务器卡顿

2、表现

1)top命令,一个随机文件在运行,且kill后会生成新的随机文件名再次运行。

\

2)chkconfig --list | grep on

这里还被设置成了开机启动

3、安装clamav扫描并删除感染文件

   <1> yum install -y epel-release

   <2>  yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y

    freshclam 更新数据库

   <3> 扫描根目录:clamscan -r / --max-dir-recursion=5 -l /root/clamav.log

   <4> 删除感染的文件:cat clamav.log | grep FOUND(rm删除其文件)

4、重装应用并杀死进程

1)还原文件

yum -y reinstall procps lsof iproute net-tools

2)查看进程树

pstree

systemd─┬─AliYunDun───15*[{AliYunDun}]

        ├─AliYunDunUpdate───3*[{AliYunDunUpdate}]

        ├─2*[agetty]

        ├─aliyun-service───6*[{aliyun-service}]

        ├─atd

        ├─auditd───{auditd}

        ├─consul───6*[{consul}]

        ├─crond───crond───freshclam-sleep───sleep

        ├─dbus-daemon

        ├─dockerd-current─┬─docker-containe───6*[{docker-containe}]

        │                 └─8*[{dockerd-current}]

        ├─lvmetad

        ├─nginx───nginx

        ├─ntpd

        ├─polkitd───5*[{polkitd}]

        ├─rsyslogd───2*[{rsyslogd}]

        ├─sshd───sshd───bash───pstree

        ├─systemd-journal

        ├─systemd-logind

        ├─systemd-udevd

        ├─tuned───4*[{tuned}]

        ├─ucfzblbtus───3*[{ucfzblbtus}]

        └─5*[zmsuzppqmm]

3)查看进程位置

ll /proc/23981

dr-xr-xr-x 2 root root 0 May  7 07:57 attr

-rw-r--r-- 1 root root 0 May  7 07:57 autogroup

-r-------- 1 root root 0 May  7 07:57 auxv

-r--r--r-- 1 root root 0 May  7 07:57 cgroup

--w------- 1 root root 0 May  7 07:57 clear_refs

-r--r--r-- 1 root root 0 May  6 22:06 cmdline

-rw-r--r-- 1 root root 0 May  7 07:57 comm

-rw-r--r-- 1 root root 0 May  7 07:57 coredump_filter

-r--r--r-- 1 root root 0 May  7 07:57 cpuset

lrwxrwxrwx 1 root root 0 May  7 07:57 cwd -> /root

-r-------- 1 root root 0 May  7 07:57 environ

lrwxrwxrwx 1 root root 0 May  6 22:06 exe -> /usr/bin/ucfzblbtus

.......

4)关闭进程

pidof /usr/bin/ucfzblbtus | xargs kill -9

5、清理剩余文件

1)删除异常计划任务

    <1> cat /etc/crontab

# Example of job definition:

# .---------------- minute (0 - 59)

# |  .------------- hour (0 - 23)

# |  |  .---------- day of month (1 - 31)

# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# |  |  |  |  |

# *  *  *  *  * user-name  command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh       // 异常任务、删除该行

2)破坏病毒文件

   <1> cat /etc/cron.hourly.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

  <2>破坏并删除

  echo etes,tet> /lib/libudev.so

 rm -f /lib/libudev.so /lib/libudev.so.6

3)删除/etc/cron.houtly 目录下所有文件

   <1> cd /etc/cron.hourly/

   <2> rm -fr *

4)关闭开机启动

   <1> chkconfig --list | grep on

   <2> chkconfig --del jesahrtrma

   <3> chkconfig --del nhwtcncubx

上一篇:漏洞导致Windows系统崩溃,硬件专家公布PoC利用码
下一篇:设备管理器权限遭恶意利用,衍生多种病毒攻击用户手机
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站