XorDDos木马清除

最新推荐文章于 2024-06-18 13:32:02 发布
最新推荐文章于 2024-06-18 13:32:02 发布
阅读量3k 收藏 1
点赞数
分类专栏: 服务器维护 文章标签: xorddos 木马 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gosenkle/article/details/80220788
版权
1、现象
1)cpu使用超高
2)网络流量异常
3)服务器卡顿
2、表现
1)top命令,一个随机文件在运行,且kill后会生成新的随机文件名再次运行。
2)chkconfig --list | grep on
这里还被设置成了开机启动

--------------------------------------------------------------------------------------------------------------

查杀思路:

由于运行进程有多个相互保护(参考一下pstree),而且和病毒文件直接也是相互配合,如果直接删除也会重新生成一个新的病毒文件,所以查杀的基本的思路是:删除定时任务中的病毒启动--->破坏病毒文件使其不可执行(不要删除,否会自动生成)--->停止系统病毒进程--->删除病毒文件--->清理感染文件--->关闭病毒开机启动

以下查杀可以自由组合,按上面查杀思路排列即可!

3、安装clamav扫描并删除感染文件
<1> yum install -y epel-release
<2>  yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y
freshclam 更新数据库
<3> 扫描根目录:clamscan -r / --max-dir-recursion=5 -l /root/clamav.log
<4> 删除感染的文件:cat clamav.log | grep FOUND(rm删除其文件)
4、重装应用并杀死进程
1)还原文件
yum -y reinstall procps lsof iproute net-tools
2)查看进程树
pstree
systemd─┬─AliYunDun───15*[{AliYunDun}]
├─AliYunDunUpdate───3*[{AliYunDunUpdate}]
├─2*[agetty]
├─aliyun-service───6*[{aliyun-service}]
├─atd
├─auditd───{auditd}
├─consul───6*[{consul}]
├─crond───crond───freshclam-sleep───sleep
├─dbus-daemon
├─dockerd-current─┬─docker-containe───6*[{docker-containe}]
│ └─8*[{dockerd-current}]
├─lvmetad
├─nginx───nginx
├─ntpd
├─polkitd───5*[{polkitd}]
├─rsyslogd───2*[{rsyslogd}]
├─sshd───sshd───bash───pstree
├─systemd-journal
├─systemd-logind
├─systemd-udevd
├─tuned───4*[{tuned}]
├─ ucfzblbtus───3*[{ucfzblbtus}]
└─ 5*[zmsuzppqmm]
3)查看进程位置
ll /proc/23981
dr-xr-xr-x 2 root root 0 May 7 07:57 attr
-rw-r--r-- 1 root root 0 May 7 07:57 autogroup
-r-------- 1 root root 0 May 7 07:57 auxv
-r--r--r-- 1 root root 0 May 7 07:57 cgroup
--w------- 1 root root 0 May 7 07:57 clear_refs
-r--r--r-- 1 root root 0 May 6 22:06 cmdline
-rw-r--r-- 1 root root 0 May 7 07:57 comm
-rw-r--r-- 1 root root 0 May 7 07:57 coredump_filter
-r--r--r-- 1 root root 0 May 7 07:57 cpuset
lrwxrwxrwx 1 root root 0 May 7 07:57 cwd -> /root
-r-------- 1 root root 0 May 7 07:57 environ
lrwxrwxrwx 1 root root 0 May 6 22:06 exe -> /usr/bin/ucfzblbtus
.......
4)关闭进程
pidof /usr/bin/ ucfzblbtus | xargs kill -9

5、清理剩余文件
1)删除异常计划任务
<1> cat /etc/crontab
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh // 异常任务、删除该行
2)破坏病毒文件
<1> cat /etc/cron.hourly.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
<2>破坏并删除
echo etes,tet> /lib/libudev.so

       chmod a-x  /lib/libudev.so

rm -f /lib/libudev.so /lib/libudev.so.6

3)删除/etc/cron.houtly 目录下所有文件
<1> cd /etc/cron.hourly/
<2> rm -fr *

4)关闭开机启动
<1> chkconfig --list | grep on
<2> chkconfig --del jesahrtrma
<3> chkconfig --del nhwtcncubx
gosenkle
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1535
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
clamav Java_ClamAV病毒查杀
weixin_39812039的博客
02-23 694
一、介绍Clam AntiVirus 是一款 UNIX 下开源的 (GPL) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。该工具包提供了包含灵活且可伸缩的监控程序、命令行扫描程序以及用于自动更新数据库的高级工具在内的大量实用程序。该工具包的核心在于可用于各类场合的反病毒引擎共享库。主要使用ClamAV开源杀毒引擎检测木马、病毒、恶意软件和其他恶意的威胁1.1、高性能ClamAV包括一个多线程...
Linux 下Xorddos木马清除
瑞雪掩晨曦的博客
11-11 1967
本次实验使用Xorddos的病毒,作为模拟应急响应 ,自己的一次小计。 病毒清理 目录 本次实验使用Xorddos的病毒,作为模拟应急响应 ,自己的一次小计。 病毒清理 看到网上还有拓展知识 还有一种思路就是将linux磁盘挂载到Windows中,用火绒,360.....杀毒工具进行查杀可能会有奇效。 1.首先这个病毒文件被植入后,除了当前打开的终端不可在打开新的终端,如若刚好为有终端打开则可以用以下方法重新打开终端界面。 这里我们可以运用网上检索到的linux应急方式 linux
CentOS安装配置ClamAV
朝露待日晞
09-03 2384
CentOS安装配置ClamAV
透视全球 XorDDoS 攻击基础设施
最新发布
白帽子凯哥哥的博客
06-18 776
最近,研究人员分析了 XorDDoS 僵尸网络的新行动,发现了大量 C&C 基础设施。与 2022 年的攻击行动进行比较,唯一的区别就是 C&C 服务器的配置。尽管域名未变,但攻击者已经将基础设施迁移到合法主机托管服务。尽管很多安全厂商已经将 C&C 的域名列入黑名单,但仍然有流量流向这些恶意 IP。研究人员发现,仅 2023 年 8 月就有一千余个 XorDDoS 的 C&C 流量。
linux安装杀毒软件clamav,Centos7安装杀毒软件ClamAV
weixin_30994847的博客
05-06 451
Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的更新皆由社群免费发布。目前ClamAV主要是使用在Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务.安装EPEL源(http://www.cyberciti.biz/faq/installing-rhel-epel-repo-on-centos-redhat-7...
SQL木马清除工具.rar
03-28
说明: 1将数据库备份在本地的还原进行修复 *注意一定做好备份工作 *本地修复性能较好 *没有多台机器,建议使用虚拟机vmware 2此程序运行需要dotnet framework 2.0 ...3设置数据库连接,需要使用sa用户,修复过程...
木马清除专家
03-01
"木马清除专家"是一款专为用户设计的高效安全软件,致力于帮助用户检测并清除计算机中的木马病毒。木马,全称为“特洛伊木马”,是一种恶意软件,通常伪装成正常程序来欺骗用户安装,进而窃取个人信息、破坏系统稳定...
木马清除大师V8
12-11
专业的木马扫描清理专家,支持硬盘扫描,可以深层扫描发现木马病毒。后台以监控,方便操作,是一款不错的木马扫描器。
usb木马清除工具
07-19
【USB木马清除工具】是一种专门针对通过USB设备传播的恶意软件进行查杀和清除的软件。在现代计算机环境中,USB设备(如U盘)由于其便携性和易用性,成为了病毒和木马传播的重要途径。这类工具的出现是为了保护用户的...
木马清除小工具
10-17
"木马清除小工具"是一款专门针对这类威胁的实用工具,它能有效检测并清除那些常规的木马专杀工具可能无法处理的木马病毒。 该工具的核心功能可能包括以下几个方面: 1. **深度扫描**:它能够深入系统文件、注册表...
Linux下 XordDos(BillGates)木马查杀记录
rigous的博客
06-30 5673
最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录。 一、现象 1、CPU占用超高。 2、网络流量异常。 3、对外ddos攻击 4、服务器卡顿。 二、文件异常 1、系统主要命令文件被替换: ps,netst
linux抓肉鸡入侵详细教程,Linux XOR.DDoS入侵排查步骤 | 聂扬帆博客
weixin_39553653的博客
05-02 1031
0x00 病毒详情XOR.DDoS类型病毒主要特点,用暴力猜解目标机器ssh弱密码的方式,入侵目标机器,然后执行相应的shell脚本,安装病毒到目标机器,将目标机器变为DDoS肉鸡,然后病毒利用多线程发起DDoS攻击。0x01 排查步骤1、登录机器安装clamav进行病毒扫描#安装$yum install -y epel-release$ yum install -y clamav#更新病毒库$...
阿里云主机XorDDos攻击解决办法
u010344437的博客
08-30 608
  1.使用top命令查看是否会有未知进程占据大量内存,有时可以查出,有时不能   2.病毒会在/etc/init.d目录建立一个到多个10个字母组成的init脚本,脚本内容几乎一模一样,手动rm删除(如果无法删除,使用chattr -i 命令给该文件减权) 3.病毒会在/etc/rc.d/{rc0.d,rc1.d,rc2,d,rc3,d,rc4,d,rc5.d}下建立非常多的以S90...
阿里云centos7 服务器XorDDoS木马查杀
07-09 4465
一、问题描述2018年6月份,阿里云搞活动大促销,本人花了298元购买了一台阿里云centos 服务器(3年),期间部署了反向代理软件frpc,用来打通内网WEB服务等场景的应用,期间没做什么特别的防护设置,6月下旬以来,邮箱一直提示: 通过阿里云管理控制台查看,服务器被IP107.179.35.251(美国加利福尼亚州)SSH暴力破解了,并且存在异常的远程登录记录。二、异常现象初定位通过Xshe...
记一次清除ddos肉鸡的经历
热门推荐
gaojie314的专栏
05-18 1万+
其实这个事情发生在2014年10月份的时候,那个时候就想把经历写成博客来着,但是当时任务过多搁置了,当然也不排除我懒的原因吧! 最近也是因为在微云发现我当时保存的肉鸡样本,才想起现在来写点什么, 目前只能凭借依稀记忆和样本来写这篇博客啦。 样本如下: 好了begin 。。。 是这样的,公司内网有一题台服务器,一个星期到某个时段公司所有机器断网上不去网的情况,
Linux下XordDos木马清除
aaa2312333333的博客
07-05 1043
朋友的阿里云服务器一早上报木马入侵,找我处理,登陆阿里云查看警告信息“恶意进程(云查杀)-XorDDoS木马”, 本文也可以作为服务器处理木马排查的步骤的参考文章 排查原则: 1.一般的木马都有多个守护进程,不一定可以短时间停掉,或者处理好,要注意备份业务数据 2.如果木马运行影响到业务运行,首先要恢复业务的访问,同时进行排查处理,但是并不建议 3.如果没有太大影响,可以先停掉...
记录一次XordDos(BillGates)木马导致Centos kworker线程占满CPU资源的解决过程
gy245770710的博客
10-20 5411
1.问题现象 ​ 通过top命令查看资源占用发现有大量kworker线程占用CPU资源,如下图。怀疑是系统问题或平台程序导致的问题。 2.是否是程序导致的论证过程 ​ 因平台有两部分组成socket+web端,考虑可能是两者中的一个导致的,因此采用以下三种方式验证: ​ [1] 只关掉socekt端,问题依旧出现 ​ [2] 只关掉web端,问题依旧出现 ​ [3] 全部关掉,问题依旧出现 ​ ...
centos系统中了一次毒(哇咔咔)DoS:Linux/Xorddos!rfn
weixin_33921089的博客
10-19 424
昨晚朋友说服务器中毒了,他说明天重新安装一下系统,我说别安装的,咱们看一下把,就有了这次的记录中毒的博客, 因为是事后记录的,有的没有图了,只能写出来了。DoS:Linux/Xorddos!rfn:特洛伊***拒绝服务 连接服务后我直接ll`whichtop`看看大小和别的机器比较下看看有没有让人修改 我执行top是能看到的有...
android 后台木马清除
08-04
在Android系统中,如果手机受到了后台木马的感染,我们可以采取一些措施来清除它。 首先,我们可以尝试使用安全软件进行扫描和清除后台木马。安全软件会检测系统中的恶意程序,并提供相应的清除操作。使用知名和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值