Linux 下Xorddos的木马清除

最新推荐文章于 2024-02-16 00:54:48 发布

瑞雪掩晨曦❀

最新推荐文章于 2024-02-16 00:54:48 发布

阅读量2.1k

点赞数 13

文章标签： linux 运维

本文链接：https://blog.youkuaiyun.com/weixin_43213815/article/details/121262389

版权

本次实验使用Xorddos的病毒，作为模拟应急响应，自己的一次小计。

病毒清理

本次实验使用Xorddos的病毒，作为模拟应急响应，自己的一次小计。

病毒清理

看到网上还有拓展知识

还有一种思路就是将linux磁盘挂载到Windows中，用火绒，360.....杀毒工具进行查杀可能会有奇效。

1.首先这个病毒文件被植入后，除了当前打开的终端不可在打开新的终端，如若刚好为有终端打开则可以用以下方法重新打开终端界面。

这里我们可以运用网上检索到的linux应急方式

linux 救援模式
https://blog.youkuaiyun.com/sadcd/article/details/104476885

linux 单用户模式
https://blog.youkuaiyun.com/wangkai_123456/article/details/78759684

2.通过这上面其中一种方式即可，重新使用终端命令行界面

打开终端后输入命令发现没.so库

3.使用which命令查看到这个命令的路径

4.没查到这个路径百度搜了下应该是环境变量被改变了

参考链接
https://blog.youkuaiyun.com/OldBoyLingYun/article/details/118219248

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

瑞雪掩晨曦❀

关注关注

13
点赞
踩
1

收藏

觉得还不错? 一键收藏
6
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

Unix.Trojan.DDoS_XOR-1木马症状及…

背锅侠

10-19

1469

问题原因数字校园应用的REDIS缓存系统存在BUG，致使服务器被注入了入侵者自己生成的公匙，并上传到了Redis的DATA目录，最终获取了服务器的root权限影响范围数字校园采用的Redis版本存在bug，影响所有部署的数字校园服务器，需全部更新处理过程-修复REDIS 1、更新REDIS版本 2、修改配置文件，使用"bind 127.0.0.1"指令将REDIS限制侦听本地接

Linux服务器安全分析与清除木马渗透

11-20

Linux服务器安全分析与清除木马渗透，安全很重要，学习人家的方法

6 条评论您还未登录，请先登录后发表或查看评论

Linux下XordDos木马的清除

aaa2312333333的博客

07-05

1124

朋友的阿里云服务器一早上报木马入侵，找我处理，登陆阿里云查看警告信息“恶意进程（云查杀）-XorDDoS木马”，本文也可以作为服务器处理木马排查的步骤的参考文章排查原则： 1.一般的木马都有多个守护进程，不一定可以短时间停掉，或者处理好，要注意备份业务数据 2.如果木马运行影响到业务运行，首先要恢复业务的访问，同时进行排查处理，但是并不建议 3.如果没有太大影响，可以先停掉...

linux shell ddos木马,利用Shell 脚本解决DDOS攻击问题

weixin_42467896的博客

05-15

413

思路：主要利用 awk ，if结构，sort，uniq#!/bin/bashFilePath="access.log"awk '{print $1}' $FilePath | sort -rn | uniq -c >ip_count.logcat ip_count.log | while read text ####读取文件内容，以行为单位doecho $textcount=`echo $...

抓住Linux木马的小尾巴并且清除它

11-28

1473

抓住Linux木马的小尾巴并且清除它时间 2015-02-28 19:27:17 网络安全攻防研究室原文 http://www.91ri.org/12348.html 主题木马 Linux Linux木马越来越常见，而Linux系统常常运行着重要的业务，所以一旦被植入木马，对业务的影响会很大。不久前，某客户被安全机构检测出流量异常，客户寻找了许久

一个月内发现的第六起Linux DDoS木马

weixin_34072458的博客

07-03

240

Linux 用户又有一个木马需要苦恼了，就像以往一样，这些坏蛋大多部署在被劫持的 Linux 系统上，并在接受到命令后发起 DDoS 攻击。发现了这件事的 Dr.Web 的安全研究人员说，木马似乎是通过破壳漏洞Shellshock感染的这些 Linux 机器——现在仍然有很多设备没有补上这个漏洞。该木马被命名为 Linux.DDoS.93，它首要会...

centos系统中了一次毒（哇咔咔）DoS:Linux/Xorddos!rfn

weixin_33921089的博客

10-19

507

昨晚朋友说服务器中毒了，他说明天重新安装一下系统，我说别安装的，咱们看一下把，就有了这次的记录中毒的博客，因为是事后记录的，有的没有图了，只能写出来了。DoS:Linux/Xorddos!rfn:特洛伊***拒绝服务连接服务后我直接ll`whichtop`看看大小和别的机器比较下看看有没有让人修改我执行top是能看到的有...

linux恶意进程检测,检测Linux服务器恶意感染病毒Linux.Xor.DDoS

weixin_30990821的博客

04-29

504

前言最近Linux病毒有点狂，然后今天打算检测下生产环境的机器，前段时间架设了一台oracle rac专用的dns和ntp服务的机器，这台机器给整个机房的oracle rac提供内网dns和时钟同步，如果被搞死了，整个机房oracle集群挂了，接下来开始检测这台机器。检测用的工具1. Clamav2. Chkrootkit3. RKHunter4. AIDE检测的机器Dns及ntp生产服务器系统环...

Linux XOR.DDoS样本取证特征与清除

weixin_30810583的博客

05-08

255

一、取证特征 1）获取进程ID 使用top命令，查看占用内存率最高的十位随机名称进程名（示例：进程名pygdykcrqf） 2）获取进程对应路径 Linux 在启动一个进程时，系统会在/proc下创建一个以 PID 命名的文件夹，在该文件夹下会有进程信息。 ll /proc/xxxx 用lsof查看某个路径下的进程列表，木马文件在/usr/bin/下的文件拷贝出来备份。 lsof /us...

Linux下DDOS攻击木马分析报告

weixin_33725239的博客

09-26

647

本文讲的是Linux下DDOS攻击木马分析报告，在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器，频繁向外发包，网页打开缓慢，上服务器提取了样本的情况分析如下： 1. 样本基本信息 2. 样本概述样本解密数据用以配置，安装各种不同的启动项，远程连接ip：www.linux#cc:6001(由于文件路径不同所连接的端口不一样，但是ip不变...

XorDDos木马清除

gosenkle的专栏

05-07

3132

1、现象1）cpu使用超高2）网络流量异常3）服务器卡顿2、表现1）top命令，一个随机文件在运行，且kill后会生成新的随机文件名再次运行。2）chkconfig --list | grep on这里还被设置成了开机启动3、安装clamav扫描并删除感染文件 <1> yum install -y epel-release <2> yum install clam...

渗透测试——漏洞扫描工具

wuli1024的博客

11-20

2621

然后还要将all这个压缩包里的plugin_feed_info.inc提取出来，命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc，然鹅，我提取不出来。将下载好的插件移动到Nessus目录下，然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好，随后将会更新补丁，OK，这样Nessus可以使用了。将会获得一串数字，然后去激活码的这个网站，输入自己的邮箱获取激活码。

云主机被挖矿病毒感染的处理过程

小明和一群狗子们

05-27

6151

舍友在宿舍喊着，我的这个云主机好卡啊，难受啊！我让他用top命令看一下CPU占用。一看吓一跳，一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。看来肯定是被当矿机了。清除过程这个病毒还不是算很变态，很多挖矿病毒，使用top命令都看不到挖矿程序的进程。基本可以确定这个占据绝大部分cpu资源的进程sysupdate，就是挖矿程序了，我们需要先找到他。使...

一个安全圈跑龙套的自白-上

最新发布

pandazhengzheng的博客

02-16

1146

一个安全圈跑龙套的自白-上

Linux下 XordDos(BillGates)木马查杀记录

rigous的博客

06-30

5856

最近朋友的一台服务器突然网络异常，cpu占用率暴表，登录上去一查，cpu占用300% 左右，流量异常，经过看查进程，获取信息最终确认为中了dos木马，经过几天的研究，基本上已经清除，以下是清理记录。一、现象 1、CPU占用超高。 2、网络流量异常。 3、对外ddos攻击 4、服务器卡顿。二、文件异常 1、系统主要命令文件被替换： ps,netst

linux抓肉鸡入侵详细教程,Linux XOR.DDoS入侵排查步骤 | 聂扬帆博客

weixin_39553653的博客

05-02

1188

0x00 病毒详情XOR.DDoS类型病毒主要特点，用暴力猜解目标机器ssh弱密码的方式，入侵目标机器，然后执行相应的shell脚本，安装病毒到目标机器，将目标机器变为DDoS肉鸡，然后病毒利用多线程发起DDoS攻击。0x01 排查步骤1、登录机器安装clamav进行病毒扫描#安装$yum install -y epel-release$ yum install -y clamav#更新病毒库$...

记一次linux下恶意软件清除记录

weixin_30872337的博客

04-27

333

通过日常检查，发现某服务器上有不明进程与外部通信。使用了perl 作为运行环境。首先更新部分软件包，防止部分系统命令已被篡改。 yum update lsof procps -y lsof -i -Pn | grep perl 通过查找到pid lsof -p pid 查找到该程序启动目录，以及相应程序。安装clamav 通过使用clamav 对其扫描 /usr/local/c...

阿里云主机XorDDos攻击解决办法

u010344437的博客

08-30

657

1.使用top命令查看是否会有未知进程占据大量内存，有时可以查出，有时不能 2.病毒会在/etc/init.d目录建立一个到多个10个字母组成的init脚本，脚本内容几乎一模一样，手动rm删除（如果无法删除，使用chattr -i 命令给该文件减权） 3.病毒会在/etc/rc.d/{rc0.d,rc1.d,rc2,d,rc3,d,rc4,d,rc5.d}下建立非常多的以S90...

一款结合破壳(Shellshock)漏洞利用的Linux远程控制恶意软件Linux/XOR.DDoS 深入解析...

weixin_34227447的博客

03-08

1481

vvun91e0n · 2015/07/23 15:43原文：blog.malwaremustdie.org/2015/07/mmd…0x00 背景昨天又是忙碌的一天，因为我获知近期有破壳漏洞利用攻击，所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分，立刻就知道它基本上就是Linux/XOR.DDoS...

Linux 下Xorddos的木马清除

本次实验使用Xorddos的病毒，作为模拟应急响应 ，自己的一次小计。

病毒清理

本次实验使用Xorddos的病毒，作为模拟应急响应，自己的一次小计。