XorDDos木马清除

1、现象

1）cpu使用超高

2）网络流量异常

3）服务器卡顿

2、表现

1）top命令，一个随机文件在运行，且kill后会生成新的随机文件名再次运行。

2）chkconfig --list | grep on

这里还被设置成了开机启动

--------------------------------------------------------------------------------------------------------------

查杀思路：

由于运行进程有多个相互保护（参考一下pstree），而且和病毒文件直接也是相互配合，如果直接删除也会重新生成一个新的病毒文件，所以查杀的基本的思路是：删除定时任务中的病毒启动--->破坏病毒文件使其不可执行（不要删除，否会自动生成）--->停止系统病毒进程--->删除病毒文件--->清理感染文件--->关闭病毒开机启动

以下查杀可以自由组合，按上面查杀思路排列即可！

3、安装clamav扫描并删除感染文件

<1> yum install -y epel-release

<2> yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y

freshclam 更新数据库

<3> 扫描根目录：clamscan -r / --max-dir-recursion=5 -l /root/clamav.log

<4> 删除感染的文件：cat clamav.log | grep FOUND（rm删除其文件）

4、重装应用并杀死进程

1）还原文件

yum -y reinstall procps lsof iproute net-tools

2）查看进程树

pstree

systemd─┬─AliYunDun───15*[{AliYunDun}]

├─AliYunDunUpdate───3*[{AliYunDunUpdate}]

├─2*[agetty]

├─aliyun-service───6*[{aliyun-service}]

├─atd

├─auditd───{auditd}

├─consul───6*[{consul}]

├─crond───crond───freshclam-sleep───sleep

├─dbus-daemon

├─dockerd-current─┬─docker-containe───6*[{docker-containe}]

│ └─8*[{dockerd-current}]

├─lvmetad

├─nginx───nginx

├─ntpd

├─polkitd───5*[{polkitd}]

├─rsyslogd───2*[{rsyslogd}]

├─sshd───sshd───bash───pstree

├─systemd-journal

├─systemd-logind

├─systemd-udevd

├─tuned───4*[{tuned}]

├─ucfzblbtus───3*[{ucfzblbtus}]

└─5*[zmsuzppqmm]

3）查看进程位置

ll /proc/23981

dr-xr-xr-x 2 root root 0 May 7 07:57 attr

-rw-r--r-- 1 root root 0 May 7 07:57 autogroup

-r-------- 1 root root 0 May 7 07:57 auxv

-r--r--r-- 1 root root 0 May 7 07:57 cgroup

--w------- 1 root root 0 May 7 07:57 clear_refs

-r--r--r-- 1 root root 0 May 6 22:06 cmdline

-rw-r--r-- 1 root root 0 May 7 07:57 comm

-rw-r--r-- 1 root root 0 May 7 07:57 coredump_filter

-r--r--r-- 1 root root 0 May 7 07:57 cpuset

lrwxrwxrwx 1 root root 0 May 7 07:57 cwd -> /root

-r-------- 1 root root 0 May 7 07:57 environ

lrwxrwxrwx 1 root root 0 May 6 22:06 exe -> /usr/bin/ucfzblbtus

.......

4）关闭进程

pidof /usr/bin/ucfzblbtus | xargs kill -9

5、清理剩余文件

1）删除异常计划任务

<1> cat /etc/crontab

# Example of job definition:

# .---------------- minute (0 - 59)

# | .------------- hour (0 - 23)

# | | .---------- day of month (1 - 31)

# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...

# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# | | | | |

# * * * * * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh // 异常任务、删除该行

2）破坏病毒文件

<1> cat /etc/cron.hourly.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

<2>破坏并删除

echo etes,tet> /lib/libudev.so

chmod a-x /lib/libudev.so

rm -f /lib/libudev.so /lib/libudev.so.6

3）删除/etc/cron.houtly 目录下所有文件

<1> cd /etc/cron.hourly/

<2> rm -fr *

4）关闭开机启动

<1> chkconfig --list | grep on

<2> chkconfig --del jesahrtrma

<3> chkconfig --del nhwtcncubx

XorDDos木马清除相关推荐

详解新网银木马清除技巧
近日,金山反病毒中心截获一特殊的新网银木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面.金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案 ...
redis 挖矿木马清除
redis 挖矿木马清除 https://www.360zhijia.com/anquan/447557.html https://github.com/MoreSecLab/DDG_MalWare_ ...
C盘目录下隐藏木马清除方法
例:C:\Windows\Fonts目录底下隐藏木马清除方法 1.打开命令提示符,目录切换到C:\Windows\Fonts目录底下,命令:cd C:\Windows\Fonts 2.查看该目录底下的 ...
shopex木马 shopex快照木马清除
shopex快照木马清除一个老站使用了shopex开源系统创建,很久没有升级更新版本,百度收录不断下降,百度页面快照指向的烂七八糟的网站,很明显,被挂马了. 经过检查,发现以下几个地方被动过,以下介 ...
蓝盾实训营day6——日志查看和木马清除
开启服务器日志 apache-php开启日志方法木马捆绑木马清除环境查看可疑进程解决镜像劫持(程序唤醒) 解决开机自启彻底清除木马文件开启服务器日志根据应用服务器的不同,有不同的日志开 ...
Linux 下Xorddos的木马清除
本次实验使用Xorddos的病毒,作为模拟应急响应 ,自己的一次小计. 病毒清理目录本次实验使用Xorddos的病毒,作为模拟应急响应 ,自己的一次小计. 病毒清理看到网上还有拓展知识还有一种 ...
11种流行的木马清除方法
今天在网上闲逛,发现一篇帖子对于查杀木马病毒很有帮助,对于象我这样经常受木马病毒感染的用户带来了极大的帮助,现整理下来: 一.木马ShareQQ 这是一款QQ密码窃取软件.清除方法如下: 1.删除文件 ...
牛X下载者木马清除方法。
讨厌的牛X下载者,在我所有的网页文件末尾添加了代码,大约上万个．清除办法: 1．进入安全模式,删除c:/program files/internet explorer/plugin文件夹里所有东西． ...
【转】记一次Linux木马清除过程
一.事件描述某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑.于是登录上去查看,果然有个进程名为"HT8sUy71"的进程在作祟,这一看名字就不大可能是正常进程. ...

XorDDos木马清除

查杀思路：

XorDDos木马清除相关推荐

最新文章

热门文章