XorDDoS木马

病毒现象

  1. 服务器存在卡顿和外联异常IP等现象。
  2. 存在进程名为10位随机字符的进程。
  3. 对外有DDOS攻击行为

病毒处置

  1. 停止定时任务:对于定时任务,删除或者注释都会被删掉重写,可以设置权限,使crontab文件无法写入:chattr +i /etc/crontab。对于木马文件,删除会重建,可以修改权限,使之无法运行,但此刻千万不要删掉(因此删除后,木马又会自动生成该文件)。降权操作:chmod 600 /lib/libudev.so chmod 600 /lib/libudev.so.6
  2. chmod 600 /user/bin/[10位随机字符],chmod 600 /tmp/[10位随机字符]。
  3. 删除:/etc/rc.d/[10位随机字符]、/etc/rc.d/K90[10位随机字符]、/etc/init.d/[10位随机字符]。
  4. 手动kill全部木马进程。
  5. rm -f /usr/bin/[10位随机字符]、/tmp/[10位随机字符]、/lib/libudev.so、libudev.so.6、/etc/cron.hourly/gcc.sh、/etc/crontab/gcc.sh。
  6. 重启服务器(客户进行重启操作)测试木马是否清理完成。

病毒详情

https://blog.csdn.net/tiezhong2004/article/details/80963575