欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 864|回复: 0

[安全通知] 关于腾讯云 XOR.DDoS 木马病毒的安全通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33830
威望
13963
发表于 2018-7-9 18:00:02 |显示全部楼层
尊敬的腾讯云用户:
         您好,近期,腾讯云安全团队监测到云上部分 Linux 服务器被 XOR.DDoS 木马病毒感染,该木马可通过 DDoS 攻击形成僵尸网络
        为避免您或其他用户的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行修复。
                  
【安全建议】
XOR.DDoS木马清除指南
1)识别恶意进程;
运行 ps -ef(ps代表进程状态)以查看正在运行的进程。或者,您可以使用 top 或 ps 的其他参数,例如 ps -ej 或 ps -aux,以获得更完整的信息。在正在运行的进程中查找具有随机名称的进程。
在我们的示例中,对于恶意进程名为 bmtsfnlgxu ,命令为:
for pid in $(ps -C bmtsfnlgxu -o pid=); do ls -la /proc/$pid/fd; done

2)识别恶意文件;
在 /etc/init.d/,/boot/和/usr/bin/ 中查找新创建的文件。同样查找具有随机名称的文件。您也可以使用命令 ls -lat | head 查看最近更改的文件。
检查你的 crontab(/etc/crontab)。删除恶意 cron 作业,更具体地说是删除 cron.hourly 作业,对于 Xor.DDoS,它们将是以下内容:
*/3 * * * * root /etc/cron.hourly/cron.sh
*/3 * * * * root /etc/cron.hourly/udev.sh
从 crontab 中删除这两行。别忘了保存。同时删除位于 /etc/cron.hourly 中的相关内容。
还要仔细检查 /etc/rc.d 中是否没有恶意文件或脚本。如果有,也要删除它们。

3)停止并杀死恶意进程;
查找出而恶意进程的父进程, 通常它将是消耗最多 CPU 的那个(你可以使用任何 earlier commands 验证,top是最简单的)。首先,确保停止父进程并等待子进程死亡。
使用命令:kill -STOP $pid
当子进程死亡时,使用 kill -9 $pid 杀死父进程
注意:如果您看到任何其他恶意进程,请再次使用最后2个命令。

4) 删除任何剩余的恶意文件;
之前已指示恶意软件可能驻留的位置,但主要要完成以下目录中恶意文件的删除:
/boot/
/etc/init.d/
/etc/rc.d
/etc/rcX.d
/usr/bin/
/lib/
/lib/udev/udev
/lib/udev/debug

5)为了保证木马病毒彻底清除,除以上方法之外也可以采用重装系统的方式。

【温馨提醒】建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。



2018/7/9
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-10-22 08:30 , Processed in 1.181468 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部