linux DDos病毒查杀过程记录
shell> clamscan -r -i /
查出木馬:/bin/pydcddfuia:Unix.Trojan.DDoS_XOR-1
1、查看/etc/cron.hourly? 目錄下的可疑.sh文件
ljjoamwmrybbx.sh
gcc.sh
2、查看gcc.sh內容,木馬源文件
/lib/libudev.so
/lib/libudev.so.6
查看ljjoamwmrybbx.sh內容
cp "/bin/ljjoamwmrybbx" "/bin/ngfljaremb"
3、查看定時任務:/etc/crontab
木馬:*/3 * * * * root /etc/cron.hourly/gcc.sh
刪除以上木馬文件,刪除定時任務,殺死對應進程
4、ljjoamwmrybbx.sh刪除后發現,會立即生成以隨機字符命名的 .sh文件
既然刪不掉,那么破壞掉,vim編輯刪除文件的內容,再通過以下命令防止重新生成
shell> chattr +i /etc/cron.hourly
5、檢查 /bin 目錄下的文件,發現木馬復制了很多副本,全部刪除。刪除后重新掃描確認清理干凈
相關命令:http://linux.51yip.com/search/clamscan
安裝:apt-get install clamav
更新病毒庫: /usr/bin/freshclam
?
其他過程記錄:
/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND
/bin/ps: Unix.Trojan.Agent-37008 FOUND
/bin/flujbtcxqb: Unix.Trojan.DDoS_XOR-1 FOUND
/etc/wxmm: Unix.Trojan.Ddostf-6443160-0 FOUND
/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/pypksflzko: Unix.Trojan.DDoS_XOR-1 FOUND
clamscan -r /usr --remove
刪除該/lib/libudev.so會立馬重新生成,應該是上述top查到的可疑進程監控的。
既然刪不掉,那么破壞掉:
echo slkfhrl,kfhs > /lib/libudev.so
rm /lib/libudev.so
touch /lib/libudev.so
chattr +i /lib/libudev.so
再kill掉上述木馬進程,發現進程被殺死沒有重新創建。
總結
以上是生活随笔為你收集整理的linux DDos病毒查杀过程记录的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 学计算机音视频教程,抖音短视频VIP教程
- 下一篇: linux 其他常用命令