專門綁架Linux系統的XOR DDoS已發展出150Gbps攻擊流量的殭屍網路!
引用:http://www.ithome.com.tw/news/99035
目前仍未碰到該木馬的跡象,但從網路上已經有的資料。跟大家說明。
XOR DDoS為長駐型惡意程式,被刪掉時會再重新安裝,受到感染的使用者必須找出存在於兩個不同目錄的惡意檔案,先刪除惡意程序,再移除惡意檔案。
Akamai 也提供以下方式從你的電腦移除XOR DDoS Trojan。
- 首先先確認兩個目錄 (/boot and /etc/init.d) 是否有異常的文件與程式。
- 確認執行中的的父行程與底下的子行程。
- 強制停止惡意程式執行。
- 從 (in /boot and /etc/init.d) 之中刪除惡意檔案。
============================================================
我參考了其他網友遭植入木馬解除方式提供給大家參考。
可依照以下步驟:
- 確認排程檔
/etc/crontab. 你可能有一筆排程記錄,是讓病毒每3分鐘執行一次。*/3 * * * * root /etc/cron.hourly/cron.sh刪除排程(可使用VIM)。 - 使用
ps -ej 指令找出病毒的父行程rguoywvrf 然後使用指令將程式終止。 - 不要強制終止,使用
kill -STOP [程序編號] 將他停止。 - 用
ps -ej確認一下,父行程底下的子行程都已經停止。 - 然後再來刪除
/usr/bin和/etc/init.d 底下的程序. - 確認腳本檔案
/etc/cron.hourly/cron.sh和/lib/libgcc.so 把他們都刪除。 - 最後再來停止並刪除
rguoywvrf程式。
留言