Linux XOR.DDoS入侵排查步骤

0x00 病毒详情

XOR.DDoS类型病毒主要特点，用暴力猜解目标机器ssh弱密码的方式，入侵目标机器，然后执行相应的shell脚本，安装病毒到目标机器，将目标机器变为DDoS肉鸡，然后病毒利用多线程发起DDoS攻击。

0x01 排查步骤

1、登录机器安装clamav进行病毒扫描

#安装
$ yum install -y epel-release

$ yum install -y clamav

#更新病毒库
$ freshclam

#进行全盘扫描
$ clamscan -r / --max-dir-recursion=5 -l /root/clamav.log

2、扫描完成，查看哪些是病毒文件，从结果看很明显是xorddos病毒

3、查看敏感路径最近3天有改动过的文件

4、发现定时任务下有个gcc4.sh文件，查看文件可以看到病毒本体是/lib/libudev4.so

5、病毒会在/etc/rc.d/init.d下生成10位随机字母组成的程序zicxddtlwb，再拷贝到其它相应目录下

6、最后生成文件列表，添加系统服务

/etc/rc1.d/S90zicxddtlwb
/etc/rc2.d/S90zicxddtlwb
/etc/rc3.d/S90zicxddtlwb
/etc/rc4.d/S90zicxddtlwb
/etc/rc5.d/S90zicxddtlwb
/etc/rc.d/rc1.d/S90zicxddtlwb
/etc/rc.d/rc2.d/S90zicxddtlwb
/etc/rc.d/rc3.d/S90zicxddtlwb
/etc/rc.d/rc4.d/S90zicxddtlwb
/etc/rc.d/rc5.d/S90zicxddtlwb

$ chkconfig --list |grep zicxddtlwb
zicxddtlwb      0:off 1:on 2:on 3:on 4:on 5:on 6:off

0x02 病毒处理

通过上面的分析，很容易找到病毒样本存在的目录，挨个删除取消即可。

在删除过程中会发现，文件删除了系统马上就会生成另一个文件；这时候我们需要把删除的目录用命令chattr +i上锁，不让病毒程序生成文件即可