shell> clamscan -r -i /
查出木馬：/bin/pydcddfuia：Unix.Trojan.DDoS_XOR-1

1、查看/etc/cron.hourly? 目錄下的可疑.sh文件
ljjoamwmrybbx.sh
gcc.sh

2、查看gcc.sh內容，木馬源文件
/lib/libudev.so
/lib/libudev.so.6
查看ljjoamwmrybbx.sh內容
cp "/bin/ljjoamwmrybbx" "/bin/ngfljaremb"

3、查看定時任務：/etc/crontab
木馬：*/3 * * * * root /etc/cron.hourly/gcc.sh

刪除以上木馬文件，刪除定時任務，殺死對應進程

4、ljjoamwmrybbx.sh刪除后發現，會立即生成以隨機字符命名的 .sh文件
既然刪不掉，那么破壞掉，vim編輯刪除文件的內容，再通過以下命令防止重新生成
shell> chattr +i /etc/cron.hourly

5、檢查 /bin 目錄下的文件，發現木馬復制了很多副本，全部刪除。刪除后重新掃描確認清理干凈

相關命令：http://linux.51yip.com/search/clamscan

安裝：apt-get install clamav

更新病毒庫： /usr/bin/freshclam

?

其他過程記錄：

/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND
/bin/ps: Unix.Trojan.Agent-37008 FOUND
/bin/flujbtcxqb: Unix.Trojan.DDoS_XOR-1 FOUND

/etc/wxmm: Unix.Trojan.Ddostf-6443160-0 FOUND
/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/pypksflzko: Unix.Trojan.DDoS_XOR-1 FOUND

clamscan -r /usr --remove

刪除該/lib/libudev.so會立馬重新生成，應該是上述top查到的可疑進程監控的。
既然刪不掉，那么破壞掉：
echo slkfhrl,kfhs > /lib/libudev.so
rm /lib/libudev.so
touch /lib/libudev.so
chattr +i /lib/libudev.so
再kill掉上述木馬進程，發現進程被殺死沒有重新創建。

總結

以上是生活随笔為你收集整理的linux DDos病毒查杀过程记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。