На сервере с CentOS 6 была замечена аномальная активность, периодически возникали проблемы с сетью, ssh соединение отваливалось. Кое-как подключившись к машине по ssh, первым делом посмотрел вывод команды ps. Сразу же бросилось в глаза, что на сервере запускаются сторонние процессы причем под root (ls, cat, find, cd и т.д.).

Удаление трояна XOR.DDoS на Linux-сервере


Первым делом запускаем clamscan c параметрами -r -i / (эти параметры указывают антивирусу ClamAV рекурсивно сканировать всю файловую систему и показать только инфицированные файлы):
clamscan -r -i /
В результате мы получим примерно такой вывод (простое удаление к сожаления не помогает, т.к. это уже "сервисы"):
/usr/bin/esztripblm: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/lochncalqy: Unix.Trojan.DDoS_XOR-1 FOUND
Проверим crontab
nano /etc/crontab
Скорее всего там будет запись, которая запускает /etc/cron.hourly/gcc.sh скрипт каждые n минут. Удаляем эту запись.
Посмотрим содержимое этого скрипта выполним:
cat /etc/cron.hourly/gcc.sh
Результат будет примерно таким:
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
Поищем еще подозрительные записи в кроне и удалим их:
tail /etc/cron.*/*
Обнулим libudev.so:
> /lib/libudev.so
Удаляем сам gcc.sh скрипт:
rm /etc/cron.hourly/gcc.sh
Ищем подозрительные кроны в rc.X и удаляем их:
ls -lRt /etc/init.d/ | less
esztripblm
lochncalqy
Отключаем автостарт "сервисов" и удаляем файлы физически:
chkconfig --del esztripblm
chkconfig --del lochncalqy
find /etc/init.d/ -name esztripblm -print -delete
find /etc/init.d/ -name lochncalqy -print -delete
Так же поищем в директории /usr/bin подозрительные файлы и удалим их:
cd /usr/bin
rm -f esztripblm lochncalqy
После проделанных действий необходимо изменить пароль root на сервере.

Дата: 07.06.2016 15:49:53
Автор: Пчелов Юрий