/ 有码集

清除 XorDDos 木马

XorDDos 木马

最近一台阿里云的年纪有点大的服务器出现了 XorDDos 木马警报,该木马会通过 crontab 定时执行脚本,在开机启动内容里放了多个乱码式命名的文件。

重装相关命令

由于不确定几个相关的系统命令是否被木马修改过,所以先重装一下:

# 重装 ps、lsof、ss、netstat
yum -y reinstall procps lsof iproute net-tools

清理定时任务

查看定时任务:

cat /etc/crontab

发现木马脚本:

*/3 * * * * root /etc/cron.hourly/cron.sh

查看该脚本内容:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

这个脚本干了几件事:

  • 修改了环境变量。
  • 复制木马文件。
  • 运行木马。

开始清理:

# 删除脚本
rm -f /etc/cron.hourly/cron.sh
# 清理 crontab 内容
crontab -e
vi /etc/crontab
# 修改 /etc/crontab 文件写入权限
chattr +i /etc/crontab
# 删除木马文件
rm -f /lib/udev/udev /lib/udev/debug

清理开机启动里的木马文件

查看开机启动内容:

ls /etc/rc*/
ls /etc/rc*/init.d

/etc/rc*/ 显示结果中,有一堆 K90S90 开头的乱码命名文件,需要清除:

而在 /etc/rc*/init.d 显示结果中,有与之对应文件名的文件,一并清除:

文件名称不一定一样,自行判断下,文件内容大致都是这样的:

检查下木马是否还在运行:

lsof /usr/bin/*

确保没有木马在运行后,重启服务器,重启后在检查下。

另外在重启后,可以用 ClamAV 全盘扫描检查,这是另一个小坑,详见另一篇文章:

使用 ClamAV 检查服务器病毒木马