Различия
Здесь показаны различия между двумя версиями данной страницы.
|
security:поиск_и_удаление_xor_ddos [2018/04/25 11:14] v.sabinich |
security:поиск_и_удаление_xor_ddos [2020/03/10 22:01] |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| - | Оно также делается в SSH c root-правами. | ||
| - | Введите: | ||
| - | <code bash> | ||
| - | find /etc -name gcc.sh | ||
| - | </code> | ||
| - | Если файл gcc.sh найден (часто он находится в /etc/cron.hourly/gcc.sh) - это означает, что искомый троянец есть на сервере. | ||
| - | Убедитесь, что у вас есть резервная копия всех важных данных с сервера и приступайте к "лечению". | ||
| - | а) защитим найденный файл от выполнения и модификаций командами (это должно предохранить сервер от повторных заражений той же версией трояна): | ||
| - | <code bash> | ||
| - | chmod 0 /etc/cron.hourly/gcc.sh | ||
| - | chattr +ia /etc/cron.hourly/gcc.sh | ||
| - | chattr +i /etc/crontab | ||
| - | </code> | ||
| - | б) найдем процессы вируса: | ||
| - | <code bash> | ||
| - | lsof -n | grep /tmp/update | ||
| - | </code> | ||
| - | Если команда выведет наличие нескольких процессов (после которых идет их числовой идентификатор - pid, например, 54522), запомните его. | ||
| - | |||
| - | Заморозим найденный процесс: | ||
| - | <code bash> | ||
| - | kill -STOP 54522 | ||
| - | </code> | ||
| - | Удалим файлы (предварительно вы можете скопировать их в другое место и исследовать): | ||
| - | <code bash> | ||
| - | rm -f /tmp/update | ||
| - | rm -f /etc/init.d/update | ||
| - | rm -f /lib/libudev.so | ||
| - | </code> | ||
| - | Уничтожим вирусный процесс: | ||
| - | <code bash> | ||
| - | kill -9 54522 | ||
| - | </code> | ||
| - | Повторный поиск lsof -n | grep /tmp/update теперь не должен выдавать новые процессы троянца XOR DDoS. | ||
| - | |||
| - | в) проверим наличие другой модификации вируса (здесь покажутся 20 файлов, модифицированных последними): | ||
| - | <code bash> | ||
| - | ls -lt /usr/bin | head -20 | ||
| - | -rwxr-xr-x 1 root root 625620 апр 8 04:01 xghjthghdd | ||
| - | -rwxr-xr-x 1 root admin 625622 апр 6 21:25 tyhgggiukl | ||
| - | ... | ||
| - | </code> | ||
| - | Запомним размер этих файлов (т.к. их имена меняются) и заморозим их процессы: | ||
| - | <code bash> | ||
| - | kill -STOP `lsof -n | egrep "625620|625622" | grep -v deleted| awk '{print $2}' | uniq` | ||
| - | </code> | ||
| - | Просмотрим их идентификаторы (pid): | ||
| - | <code bash> | ||
| - | lsof -n | egrep "625620|625622" | ||
| - | </code> | ||
| - | Удаляем: | ||
| - | <code bash> | ||
| - | rm -f /usr/bin/xghjthghdd | ||
| - | rm -f /usr/bin/tyhgggiukl | ||
| - | rm -f /lib/libudev.so | ||
| - | </code> | ||
| - | Уничтожим процессы: | ||
| - | <code bash> | ||
| - | kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq` | ||
| - | </code> | ||
| - | Проверяем /etc/init.d – там бывает код вируса, который желательно вычистить. | ||
| - | Также нужно проверить и при необходимости удалить /etc/init.d/update | ||
| - | Также проверьте вывод: | ||
| - | <code bash> | ||
| - | ls -lt /etc/init.d | head -100 | ||
| - | </code> | ||
| - | и удалите подозрительные файлы. | ||
| - | |||
| - | Готово: XOR DDoS удален. Проверьте сервер на подозрительные процессы через top, ps, статистику по трафику. | ||
| - | |||
| - | == Дополнительная информация === | ||
| - | |||
| - | * [[linux:centos:как обновить ПО|Как обновить ПО в CentOS]] | ||
| - | * [[linux:debian:как обновить ПО|Как обновить ПО в Debian/Ubuntu]] | ||