尊敬的腾讯云用户：

         您好，近期，腾讯云安全团队监测到云上部分 Linux 服务器被 XOR.DDoS 木马病毒感染，该木马可通过 DDoS 攻击形成僵尸网络。

        为避免您或其他用户的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行修复。

                  

【安全建议】

XOR.DDoS木马清除指南

1）识别恶意进程；

运行 ps -ef（ps代表进程状态）以查看正在运行的进程。或者，您可以使用 top 或 ps 的其他参数，例如 ps -ej 或 ps -aux，以获得更完整的信息。在正在运行的进程中查找具有随机名称的进程。 

在我们的示例中，对于恶意进程名为 bmtsfnlgxu ，命令为：

for pid in $(ps -C bmtsfnlgxu -o pid=); do ls -la /proc/$pid/fd; done



2）识别恶意文件；

在 /etc/init.d/，/boot/和/usr/bin/ 中查找新创建的文件。同样查找具有随机名称的文件。您也可以使用命令 ls -lat | head 查看最近更改的文件。

检查你的 crontab（/etc/crontab）。删除恶意 cron 作业，更具体地说是删除 cron.hourly 作业，对于 Xor.DDoS，它们将是以下内容：

*/3 * * * * root /etc/cron.hourly/cron.sh

*/3 * * * * root /etc/cron.hourly/udev.sh

从 crontab 中删除这两行。别忘了保存。同时删除位于 /etc/cron.hourly 中的相关内容。

还要仔细检查 /etc/rc.d 中是否没有恶意文件或脚本。如果有，也要删除它们。



3）停止并杀死恶意进程；

查找出而恶意进程的父进程， 通常它将是消耗最多 CPU 的那个（你可以使用任何 earlier commands 验证，top是最简单的）。首先，确保停止父进程并等待子进程死亡。 

使用命令：kill -STOP $pid

当子进程死亡时，使用 kill -9 $pid 杀死父进程

注意：如果您看到任何其他恶意进程，请再次使用最后2个命令。



4） 删除任何剩余的恶意文件；

之前已指示恶意软件可能驻留的位置，但主要要完成以下目录中恶意文件的删除：

/boot/

/etc/init.d/ 

/etc/rc.d

/etc/rcX.d

/usr/bin/

/lib/

/lib/udev/udev 

/lib/udev/debug



5）为了保证木马病毒彻底清除，除以上方法之外也可以采用重装系统的方式。



【温馨提醒】建议变更前提前做好数据备份和验证评估，避免变更引起业务不可用。