0x00 病毒详情
XOR.DDoS类型病毒主要特点,用暴力猜解目标机器ssh弱密码的方式,入侵目标机器,然后执行相应的shell脚本,安装病毒到目标机器,将目标机器变为DDoS肉鸡,然后病毒利用多线程发起DDoS攻击。
0x01 排查步骤
1、登录机器安装clamav进行病毒扫描
#安装 $ yum install -y epel-release $ yum install -y clamav #更新病毒库 $ freshclam #进行全盘扫描 $ clamscan -r / --max-dir-recursion=5 -l /root/clamav.log
2、扫描完成,查看哪些是病毒文件,从结果看很明显是xorddos病毒
3、查看敏感路径最近3天有改动过的文件
4、发现定时任务下有个gcc4.sh文件,查看文件可以看到病毒本体是/lib/libudev4.so
5、病毒会在/etc/rc.d/init.d下生成10位随机字母组成的程序zicxddtlwb,再拷贝到其它相应目录下
6、最后生成文件列表,添加系统服务
/etc/rc1.d/S90zicxddtlwb /etc/rc2.d/S90zicxddtlwb /etc/rc3.d/S90zicxddtlwb /etc/rc4.d/S90zicxddtlwb /etc/rc5.d/S90zicxddtlwb /etc/rc.d/rc1.d/S90zicxddtlwb /etc/rc.d/rc2.d/S90zicxddtlwb /etc/rc.d/rc3.d/S90zicxddtlwb /etc/rc.d/rc4.d/S90zicxddtlwb /etc/rc.d/rc5.d/S90zicxddtlwb $ chkconfig --list |grep zicxddtlwb zicxddtlwb 0:off 1:on 2:on 3:on 4:on 5:on 6:off
0x02 病毒处理
通过上面的分析,很容易找到病毒样本存在的目录,挨个删除取消即可。
在删除过程中会发现,文件删除了系统马上就会生成另一个文件;这时候我们需要把删除的目录用命令chattr +i上锁,不让病毒程序生成文件即可

聂扬帆博客
一个分享IT运维相关工作经验和实战技巧的个人博客
您可以选择一种方式赞助本站
支付宝扫一扫赞助
微信钱包扫描赞助
赏