Unix.Trojan.DDoS_XOR-1 に感染してしまった場合
- よくわからないプロセスが立ち上がっている
- /binや/usr/bin以下に不明なファイルが多数できている
-rwxr-xr-x 1 root root 0 1月 29 13:50 2019 barepswq
-rwxr-xr-x 1 root root 278528 1月 29 13:50 2019 zxotxe
-rwxr-xr-x 1 root root 487424 1月 29 13:50 2019 hqzejsnyveoqm
-rwxr-xr-x 1 root root 0 1月 29 13:50 2019 aljkkbgj
-rwxr-xr-x 1 root root 0 1月 29 13:50 2019 resylbr
-rwxr-xr-x 1 root root 0 1月 29 13:50 2019 jhzagsci
-rwxr-xr-x 1 root root 155648 1月 29 13:50 2019 hlisfkbmaqyjsj
-rwxr-xr-x 1 root root 217088 1月 29 13:50 2019 bsxjjfyopeza
-rwxr-xr-x 1 root root 12288 1月 29 13:50 2019 mdvzstmhkiob
- /etc/ini.d以下も同様だったり
-rwxr-xr-x 1 root root 323 1月 29 13:25 2019 ykaswyskkm
-rwxr-xr-x 1 root root 343 1月 29 13:31 2019 jfmwrnnctkg
- /etc/cron.hourly/gcc.sh が勝手に生成されている
[root@localhost ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in cat `/proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
- /etc/crontabに勝手に追記されている
*/3 * * * * root /etc/cron.hourly/gcc.sh
とりあえずやること
- /lib/libudev.so.6, /lib/libudev.soの削除
- /etc/cron.hourly/gcc.sh の削除
- clamscanのインストールと実行 →検索
- clamscanのインストールが終わったらLANケーブルを外すか /etc/resolve.conf のnameserver をコメントアウトして外部に悪影響を及ぼさないようにする
[root@localhost ~]# /usr/bin/clamscan --infected --remove --recursive /bin
/bin/sypkjtdjssjyzp: Unix.Malware.Agent-1696011 FOUND
/bin/sypkjtdjssjyzp: Removed.
/bin/ufrpaoflslie: Unix.Malware.Agent-1696011 FOUND
/bin/ufrpaoflslie: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 6785903
Engine version: 0.100.2
Scanned directories: 1
Scanned files: 421
Infected files: 2
Data scanned: 51.68 MB
Data read: 96.56 MB (ratio 0.54:1)
Time: 16.545 sec (0 m 16 s)
まずは clamscan に頑張ってもらうが
ファイルは復活するので基本的な対策にはならない。
さらに
/etc/rc.d書き込み保護
[root@localhost ~]# find . -type l -name "K90*" -o -name "S90*" |grep -v crond|xargs rm -f && chattr -R +i /etc/rc.d/
同様に/lib以下も
[root@localhost ~]# rm -f /lib/libudev.so && chattr +i /lib
同様に保護
[root@localhost ~]# chattr -i /lib64 /bin /sbin /usr/sbin /usr/local
[root@localhost ~]# chmod 000 /etc/crontab
AVG もインストールしておく
/etc/crontab 設定の例
# anti virus
0 2 * * * root /usr/bin/avgupdate > /var/log/avgupdate.log 2>&1
0 5 * * * root /usr/bin/avgscan /bin /home /lost+found /misc /net /proc /sbin /srv /var /tmp /boot /etc /lib /opt /root /selinux /sys /usr --report=/root/avg_report.txt > /var/log/avgscan.log 2>&1
最後に
- 不明なプロセスが動いていない、/lib/libudev.so が存在しない、/etc/cron.daily 以下が無事なのを確認する
- /bin, /usr/bin, /etc/init.d 以下の怪しそうなファイルは地道に削除
- 大丈夫そうになったらLANケーブルを繋ぐ
- ls や ps といったコマンドの内容を書き換えるものもあるので注意