一、取证特征

1)获取进程ID

使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf)

2)获取进程对应路径

Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息。

ll /proc/xxxx

用lsof查看某个路径下的进程列表,木马文件在/usr/bin/下的文件拷贝出来备份。

lsof /usr/bin/*

用pidof命令查看某个路径下进程的pid,判断有没有符合条件的木马文件:

pidof /usr/bin/*

查看目录

/usr/bin

/tmp

/bin

3)查看计划任务

$ cat /etc/crontab

查看计划任务的具体内容,如果有可疑的Shell脚本拷贝出来。例如:

/etc/cron.hourly/gcc.sh

二、清除木马

1)下载rkhunter,扫描Rootkit

$ wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz 

$ tar xzvf rkhunter*

$ cd rkhunter*

$ ./installer.sh --layout /usr --install

$ rkhunter --update

$ rkhunter -C

2)重新安装默认命令程序

常用命令依赖包名如下:

ps --> procps

ss --> iproute

netstat --> net-tools

top --> htop

e2fsprogs #可以恢复chattr lsattr

安装命令:

$ yum -y reinstall procps lsof  iproute net-tools

3)删除cron定时任务

$ rm -f /etc/cron.hourly/gcc4.sh

$ crontab -e # 进入 vim 编辑器,删除木马启动内容

$ chattr +i /etc/crontab

删除木马源文件:

rm -f /lib/libudev4.so /lib/libudev4.so.6

4)清除开机启动内容

$ ls /etc/rc*/

# init.d 是软链 `init.d -> rc.d/init.d`

$ ls /etc/rc*/init.d

查看 /usr/bin/ 中最近变动的文件,并删除十位随机字串木马

$ ls -lt /usr/bin/ | head

# 或者用 `ls -lrt /usr/bin/` 查看按时间倒序查

删除服务里面的异常服务

chkconfig --list|grep :on

chkconfig --del 异常服务名

5)使用clamav进行病毒查杀

#安装

yum install -y epel-release

yum install -y clamav

#更新病毒库

freshclam

#扫描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

#扫描并杀毒

clamscan -r  --remove  /usr/bin/bsd-port

clamscan -r  --remove  /usr/bin/

clamscan -r --remove  /usr/local/zabbix/sbin

#查看扫描日志

cat /root/usrclamav.log |grep FOUND

/usr/bin/ohhnzdjent: Unix.Trojan.DDoS_XOR-1 FOUND

/usr/bin/oracle: Legacy.Trojan.Agent-1388639 FOUND

/usr/bin/tgbtrjldlq: Unix.Trojan.DDoS_XOR-1 FOUND

/usr/bin/wcwghpgruw: Unix.Trojan.DDoS_XOR-1 FOUND

6)彻底查杀木马

  1. 尝试破坏病毒文件
echo slkfhrl,kfhs > /lib/libudev4.so

rm -f /lib/libudev4.so

touch /lib/libudev4.so

chattr +i /lib/libudev4.so
  1. 通过关联文件清除服务里面的异常服务
grep -r scon.sh /etc/

三、参考

https://www.waitalone.cn/linux-xorddos.html

Linux XOR.DDoS样本取证特征与清除的更多相关文章

  1. Wannacry样本取证特征与清除

    一.取证特征 1)网络域名特征 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 2)文件特征 母体文件 mssecsvc.exe c: ...

  2. 关于chkrootkit 检查 INFECTED: Possible Malicious Linux.Xor.DDoS installed

    chkrootkit检测时,发现一个Xor.DDoS内容,内容如下...Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Li ...

  3. Virut样本取证特征

    1.网络特征 ant.trenz.pl ilo.brenz.pl 2.文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件. 3.受感染特 ...

  4. 一个windows下的ddos样本

    一个windows下的ddos样本. 加载器 程序运行之后会在临时目录释放出一个256_res.tmp的文件 之后将该文件移动至system32目录下,以rasmedia.dll命名. 删除原文件. ...

  5. The Art of Memory Forensics-Windows取证(Virut样本取证)

    1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔 ...

  6. Linux环境下查看历史操作命令及清除方法

    在Linux环境中可以通过方向键的上下按键查看近期键入的命令.但这种方法只能一个一个的查看,其实系统提供了查看所有历史命令的方法. 在终端中输入以下命令查看所有命令: history [root@te ...

  7. ddos,cc 攻击特征研究

    a.关于DDos攻击的常见方法 1. SYN Flood:利用TCP协议的原理,这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN ...

  8. linux 通过 mac地址 查询 ip 和 清除arp 缓存

    问题重述: 今天,突然找不到vm 的ip 了,但是可以从网卡状态上看到其 mac 地址,并且确定主机是启动状态,网络状态良好(后来发现因为子网掩码的问题,导致虚拟机和网关之间不通信,从而导致其他网络的 ...

  9. linux dpdk DDOS清洗和流量行为分析

    http://www.linuxidc.com/Linux/2014-09/106285.htm http://www.th7.cn/system/lin/201403/51652.shtml DDO ...

随机推荐

  1. UVALive6443_Alien Abduction Again

    题意为给你若干个三次函数,以及每一个函数所分布的区间,由于每个函数的所有的系数都是整数,所以最后的函数在整数点处的值也是整数. 现在每次可以插入函数或者询问区间,现在要求每次询问区间后,所有的函数在这 ...

  2. 解决MySQL Slave 触发 oom-killer

    最近经常有收到MySQL实例类似内存不足的报警信息,登陆到服务器上一看发现MySQL 吃掉了99%的内存,God ! 有时候没有及时处理,内核就会自己帮我们重启下MySQL,然后我们就可以看到 dme ...

  3. php将两张身份证图片合并到一张图

    /** * @desc 合并身份证的正反面到同一张图片 * @author Jimmy * @date 2016-12-33 * @param $imageSrc0 身份证正面 * @param $i ...

  4. Linux下cp ~中关于“~”的疑问

    目的:将wi主文件夹下的.bashrc复制到/tmp,并更名为bashrc.对于书上的代码上加“~”存在疑问. cp ~/.bashrc /tmp/bashrc 对命令进行了以下尝试: 为什么不加“~ ...

  5. RRDtool绘制lvs连接数图形

    需求:用RRDtool绘制lvs的连接数图形 RRDtool是一个强大的绘图工具,作者是Tobias Oetiker. RRD全称Round Robin Database,轮转数据库,也是一个时间序列 ...

  6. 解题:POI 2010 Beads

    题面 正反各做一遍哈希来判断,然后在两个哈希值里取一个$max/min$做哈希值,然后每次把子串们的哈希插进$set$里,最后统计集合大小,就可以优秀地在$O(nlog^2$ $n)$中出解了 然后我 ...

  7. Python之旅:集合

    Python数据类型 #作用:去重,关系运算, #定义: 知识点回顾 可变类型是不可hash类型 不可变类型是可hash类型 #定义集合: 集合:可以包含多个元素,用逗号分割, 集合的元素遵循三个原则 ...

  8. 数据库之SQLite的介绍与使用20180705

    一.SQLite 简介 1.介绍 SQLite,是一款轻型的数据库,是遵守ACID的关系型数据库管理系统,它包含在一个相对小的C库中.它是D.RichardHipp建立的公有领域项目.它的设计目标是嵌 ...

  9. 非极大值抑制Non-Maximum Suppression(NMS)

    非极大值抑制(Non-Maximum Suppression,NMS)   概述 非极大值抑制(Non-Maximum Suppression,NMS),顾名思义就是抑制不是极大值的元素,可以理解为局 ...

  10. c++操作mysql入门详解

    首先,根据你当前的操作系统,还有开发工具,选择相应的mysql版本.本人选择的环境是win10 + vs2013 需要解决三个问题:1.下载安装mysql服务器,并登录mysql测试一下是否安装成功: ...