XorDDos木马清除

1、现象 1）cpu使用超高 2）网络流量异常 3）服务器卡顿 2、表现 1）top命令，一个随机文件在运行，且kill后会生成新的随机文件名再次运行。

2）chkconfig --list | grep on

这里还被设置成了开机启动

--------------------------------------------------------------------------------------------------------------

查杀思路：

由于运行进程有多个相互保护（参考一下pstree），而且和病毒文件直接也是相互配合，如果直接删除也会重新生成一个新的病毒文件，所以查杀的基本的思路是：删除定时任务中的病毒启动--->破坏病毒文件使其不可执行（不要删除，否会自动生成）--->停止系统病毒进程--->删除病毒文件--->清理感染文件--->关闭病毒开机启动

以下查杀可以自由组合，按上面查杀思路排列即可！

3、安装clamav扫描并删除感染文件 <1> yum install -y epel-release <2>  yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y freshclam 更新数据库 <3> 扫描根目录：clamscan -r / --max-dir-recursion=5 -l /root/clamav.log <4> 删除感染的文件：cat clamav.log | grep FOUND（rm删除其文件） 4、重装应用并杀死进程 1）还原文件 yum -y reinstall procps lsof iproute net-tools 2）查看进程树 pstree systemd─┬─AliYunDun───15*[{AliYunDun}] ├─AliYunDunUpdate───3*[{AliYunDunUpdate}] ├─2*[agetty] ├─aliyun-service───6*[{aliyun-service}] ├─atd ├─auditd───{auditd} ├─consul───6*[{consul}] ├─crond───crond───freshclam-sleep───sleep ├─dbus-daemon ├─dockerd-current─┬─docker-containe───6*[{docker-containe}] │ └─8*[{dockerd-current}] ├─lvmetad ├─nginx───nginx ├─ntpd ├─polkitd───5*[{polkitd}] ├─rsyslogd───2*[{rsyslogd}] ├─sshd───sshd───bash───pstree ├─systemd-journal ├─systemd-logind ├─systemd-udevd ├─tuned───4*[{tuned}] ├─ ucfzblbtus───3*[{ucfzblbtus}] └─ 5*[zmsuzppqmm] 3）查看进程位置 ll /proc/23981 dr-xr-xr-x 2 root root 0 May 7 07:57 attr -rw-r--r-- 1 root root 0 May 7 07:57 autogroup -r-------- 1 root root 0 May 7 07:57 auxv -r--r--r-- 1 root root 0 May 7 07:57 cgroup --w------- 1 root root 0 May 7 07:57 clear_refs -r--r--r-- 1 root root 0 May 6 22:06 cmdline -rw-r--r-- 1 root root 0 May 7 07:57 comm -rw-r--r-- 1 root root 0 May 7 07:57 coredump_filter -r--r--r-- 1 root root 0 May 7 07:57 cpuset lrwxrwxrwx 1 root root 0 May 7 07:57 cwd -> /root -r-------- 1 root root 0 May 7 07:57 environ lrwxrwxrwx 1 root root 0 May 6 22:06 exe -> /usr/bin/ucfzblbtus ....... 4）关闭进程 pidof /usr/bin/ ucfzblbtus | xargs kill -9

5、清理剩余文件 1）删除异常计划任务 <1> cat /etc/crontab # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # | | | | | # * * * * * user-name command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh // 异常任务、删除该行 2）破坏病毒文件 <1> cat /etc/cron.hourly.sh #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6 <2>破坏并删除 echo etes,tet> /lib/libudev.so

       chmod a-x  /lib/libudev.so

rm -f /lib/libudev.so /lib/libudev.so.6

3）删除/etc/cron.houtly 目录下所有文件 <1> cd /etc/cron.hourly/ <2> rm -fr *

4）关闭开机启动 <1> chkconfig --list | grep on <2> chkconfig --del jesahrtrma <3> chkconfig --del nhwtcncubx