Linux 下面Xorddos病毒查杀记录

中的病毒:xorddos, 中毒原因, root账号密码太多,被暴力爆破。
又称为:10字符病毒,

症状:服务器不停的向外发包,且CPU持续100%+, 带宽被占用,服务器上的网站打开极慢。


删除了它的进程以后,它会自己创建一个新的进程,名字,PID换了,功能一样。

经过反复的试验,才找到病毒发作文件所在的目录,将病毒文件下载下来。杀毒软件提示是Xorddos病毒。这样就找到相关的杀毒文档。

http://jingyan.baidu.com/article/a3f121e4be737ffc9152bb6c.html

http://www.cnlvzi.com/index.php/Index/article/id/176

首先使用top查看,哪个进程占用CPU过高,如果是一个10字母命令,这10个字母,也没有任何含义,就是我们要找的病毒。
首先先禁用:
kill -STOP PID
这个病毒是杀不死的
kill PID直接杀死,会自动创建。

在crontab里面,有这样的代码:
*/3 * * * * root /etc/cron.hourly/gcc.sh

将它注释掉,病毒过会会更新这个文件,重新加上这个定时任务。

查看/etc/cron.hourly/gcc.sh 文件:
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6


/etc/cron.hourly/gcc.sh 删除。


/etc/init.d下面的对应10字母的文件删除。
/etc/rc1.d/
/etc/rc2.d/
/etc/rc3.d/
/etc/rc4.d/
。。。
下面的对应10字母的文件删除。
将/usr目录下面的文件删除。这个文件夹下面也有, /usr/lib ? usr/local/bin?

尝试删除:
/lib/libudev.so

第一次提示没有权限, root账号都没有权限。
使用命令检查文件属性:
lsattr /lib/libudev.so

发现这个文件有一个 i 属性。
使用下面的命令删除i属性:
chattr -i /lib/libudev.so

删除过后,重新尝试删除/lib/libudev.so文件:
rm -f /lib/libudev.so
执行过后,检查文件还在,反复检查,文件的日期修改了,
经过确认,发现文件删除成功了,但是删除完了,马上就有创建一个。


/lib/libudev.so 删除后, 马上创建一个新的/lib/libudev.so文件,这是一个问题,我看的文档都没有将这个。

想起来前面的代码:
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6这个文件在哪里?
竟然通过wscp看不到。
使用命令删除一下/lib/libudev.so.6 文件。

删除过后,再次执行:
rm -f /lib/libudev.so

这下这个病毒母文件被删除了。



论坛: 
Drupal版本: 

关注我们的微信

关注我们,体验一下Drupal微信(Wechat)模块的最新进展

Think in Drupal 官方微信 亚艾元官方微信