Linux XOR.DDoS入侵排查步骤

0x00 病毒详情

XOR.DDoS类型病毒主要特点,用暴力猜解目标机器ssh弱密码的方式,入侵目标机器,然后执行相应的shell脚本,安装病毒到目标机器,将目标机器变为DDoS肉鸡,然后病毒利用多线程发起DDoS攻击。

 

0x01 排查步骤

1、登录机器安装clamav进行病毒扫描


#安装

$ yum install -y epel-release

$ yum install -y clamav

#更新病毒库

$ freshclam

#进行全盘扫描

$ clamscan -r / --max-dir-recursion=5 -l /root/clamav.log

2、扫描完成,查看哪些是病毒文件,从结果看很明显是xorddos病毒

Linux XOR.DDoS入侵排查步骤

3、查看敏感路径最近3天有改动过的文件

Linux XOR.DDoS入侵排查步骤

 

4、发现定时任务下有个gcc4.sh文件,查看文件可以看到病毒本体是/lib/libudev4.so

Linux XOR.DDoS入侵排查步骤

5、病毒会在/etc/rc.d/init.d下生成10位随机字母组成的程序zicxddtlwb,再拷贝到其它相应目录下

6、最后生成文件列表,添加系统服务


/etc/rc1.d/S90zicxddtlwb

/etc/rc2.d/S90zicxddtlwb

/etc/rc3.d/S90zicxddtlwb

/etc/rc4.d/S90zicxddtlwb

/etc/rc5.d/S90zicxddtlwb

/etc/rc.d/rc1.d/S90zicxddtlwb

/etc/rc.d/rc2.d/S90zicxddtlwb

/etc/rc.d/rc3.d/S90zicxddtlwb

/etc/rc.d/rc4.d/S90zicxddtlwb

/etc/rc.d/rc5.d/S90zicxddtlwb

$ chkconfig --list |grep zicxddtlwb

zicxddtlwb      0:off 1:on 2:on 3:on 4:on 5:on 6:off

 

0x02 病毒处理

通过上面的分析,很容易找到病毒样本存在的目录,挨个删除取消即可。

在删除过程中会发现,文件删除了系统马上就会生成另一个文件;这时候我们需要把删除的目录用命令chattr +i上锁,不让病毒程序生成文件即可

 

weinxin
聂扬帆博客
一个分享IT运维相关工作经验和实战技巧的个人博客

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: