- A+
XOR.DDoS木马清除指南
1)识别恶意进程;
运行 ps -ef(ps代表进程状态)以查看正在运行的进程。或者,您可以使用 top 或 ps 的其他参数,例如 ps -ej 或 ps -aux,以获得更完整的信息。在正在运行的进程中查找具有随机名称的进程。
在我们的示例中,对于恶意进程名为 bmtsfnlgxu ,命令为:
for pid in $(ps -C bmtsfnlgxu -o pid=); do ls -la /proc/$pid/fd; done
2)识别恶意文件;
在 /etc/init.d/,/boot/和/usr/bin/ 中查找新创建的文件。同样查找具有随机名称的文件。您也可以使用命令 ls -lat | head 查看最近更改的文件。
检查你的 crontab(/etc/crontab)。删除恶意 cron 作业,更具体地说是删除 cron.hourly 作业,对于 Xor.DDoS,它们将是以下内容:
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/udev.sh
从 crontab 中删除这两行。别忘了保存。同时删除位于 /etc/cron.hourly 中的相关内容。
还要仔细检查 /etc/rc.d 中是否没有恶意文件或脚本。如果有,也要删除它们。
3)停止并杀死恶意进程;
查找出而恶意进程的父进程, 通常它将是消耗最多 CPU 的那个(你可以使用任何 earlier commands 验证,top是最简单的)。首先,确保停止父进程并等待子进程死亡。
使用命令:kill -STOP $pid
当子进程死亡时,使用 kill -9 $pid 杀死父进程
注意:如果您看到任何其他恶意进程,请再次使用最后2个命令。
4) 删除任何剩余的恶意文件;
之前已指示恶意软件可能驻留的位置,但主要要完成以下目录中恶意文件的删除:
/boot/
/etc/init.d/
/etc/rc.d
/etc/rcX.d
/usr/bin/
/lib/
/lib/udev/udev
/lib/udev/debug
5)为了保证木马病毒彻底清除,除以上方法之外也可以采用重装系统的方式。
对于缺乏专业维护人员的网站,建议向 360网站管家 咨询
以上资料 转载自 国内安全公司 360网站管家
- 微信 wzgj360
- 联系免费答疑
-
- QQ 613049615
- 联系免费答疑
-
