Удаление Trojan.DDoS_XOR выполняется из консоли ssh.

Введите:
<code bash>
find /etc -name gcc.sh
</code>
Если файл gcc.sh найден (часто он находится в /etc/cron.hourly/gcc.sh) - это означает, что искомый троянец есть на сервере.
Убедитесь, что у вас есть резервная копия всех важных данных с сервера и приступайте к "лечению".

а) защитим найденный файл от выполнения и модификаций командами (это должно предохранить сервер от повторных заражений той же версией трояна):
<code bash>
chmod 0 /etc/cron.hourly/gcc.sh
chattr +ia /etc/cron.hourly/gcc.sh
chattr +i /etc/crontab
</code>
б) найдем процессы вируса:
<code bash>
lsof -n | grep /tmp/update
</code>
Если команда выведет наличие нескольких процессов (после которых идет их числовой идентификатор - pid, например, 54522), запомните его.

Заморозим найденный процесс:
<code bash>
kill -STOP 54522
</code>
Удалим файлы (предварительно вы можете скопировать их в другое место и исследовать):
<code bash>
rm -f /tmp/update
rm -f /etc/init.d/update
rm -f /lib/libudev.so
</code>
Уничтожим вирусный процесс:
<code bash>
kill -9 54522
</code>
Повторный поиск lsof -n | grep /tmp/update теперь не должен выдавать новые процессы троянца XOR DDoS.

в) проверим наличие другой модификации вируса (здесь покажутся 20 файлов, модифицированных последними):
<code bash>
ls -lt /usr/bin | head -20
-rwxr-xr-x 1 root root    625620 апр  8 04:01 xghjthghdd
-rwxr-xr-x 1 root admin   625622 апр  6 21:25 tyhgggiukl
...
</code>
Запомним размер этих файлов (т.к. их имена меняются) и заморозим их процессы:
<code bash>
kill -STOP `lsof -n | egrep "625620|625622" | grep -v deleted| awk '{print $2}' | uniq`
</code>
Просмотрим их идентификаторы (pid):
<code bash>
lsof -n | egrep "625620|625622"
</code>
Удаляем:
<code bash>
rm -f /usr/bin/xghjthghdd
rm -f /usr/bin/tyhgggiukl
rm -f /lib/libudev.so
</code>
Уничтожим процессы:
<code bash>
kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`
</code>
Проверяем /etc/init.d – там бывает код вируса, который желательно вычистить.
Также нужно проверить и при необходимости удалить /etc/init.d/update 
Также проверьте вывод:
<code bash>
ls -lt /etc/init.d | head -100
</code>
и удалите подозрительные файлы.

Готово: XOR DDoS удален. Проверьте сервер на подозрительные процессы через top, ps, статистику по трафику.

== Дополнительная информация ===

  * [[linux:centos:как обновить ПО|Как обновить ПО в CentOS]]
  * [[linux:debian:как обновить ПО|Как обновить ПО в Debian/Ubuntu]]