LoginSignup
4
1

More than 5 years have passed since last update.

@katafuchix(katafuchix)

CentOS Unix.Trojan.DDoS_XOR-1 対策 メモ

Last updated at Posted at 2019-01-29

Unix.Trojan.DDoS_XOR-1 に感染してしまった場合

  • よくわからないプロセスが立ち上がっている
  • /binや/usr/bin以下に不明なファイルが多数できている
-rwxr-xr-x  1 root root      0  1月 29 13:50 2019 barepswq
-rwxr-xr-x  1 root root 278528  1月 29 13:50 2019 zxotxe
-rwxr-xr-x  1 root root 487424  1月 29 13:50 2019 hqzejsnyveoqm
-rwxr-xr-x  1 root root      0  1月 29 13:50 2019 aljkkbgj
-rwxr-xr-x  1 root root      0  1月 29 13:50 2019 resylbr
-rwxr-xr-x  1 root root      0  1月 29 13:50 2019 jhzagsci
-rwxr-xr-x  1 root root 155648  1月 29 13:50 2019 hlisfkbmaqyjsj
-rwxr-xr-x  1 root root 217088  1月 29 13:50 2019 bsxjjfyopeza
-rwxr-xr-x  1 root root  12288  1月 29 13:50 2019 mdvzstmhkiob
  • /etc/ini.d以下も同様だったり
-rwxr-xr-x  1 root root   323  1月 29 13:25 2019 ykaswyskkm
-rwxr-xr-x  1 root root   343  1月 29 13:31 2019 jfmwrnnctkg
  • /etc/cron.hourly/gcc.sh が勝手に生成されている
[root@localhost ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
  PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
  for i in cat `/proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
  cp /lib/libudev.so /lib/libudev.so.6
  /lib/libudev.so.6
  • /etc/crontabに勝手に追記されている
*/3 * * * * root /etc/cron.hourly/gcc.sh

とりあえずやること

  • /lib/libudev.so.6, /lib/libudev.soの削除
  • /etc/cron.hourly/gcc.sh の削除
  • clamscanのインストールと実行 →検索
  • clamscanのインストールが終わったらLANケーブルを外すか /etc/resolve.conf のnameserver をコメントアウトして外部に悪影響を及ぼさないようにする
[root@localhost ~]# /usr/bin/clamscan  --infected --remove --recursive /bin
/bin/sypkjtdjssjyzp: Unix.Malware.Agent-1696011 FOUND
/bin/sypkjtdjssjyzp: Removed.
/bin/ufrpaoflslie: Unix.Malware.Agent-1696011 FOUND
/bin/ufrpaoflslie: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 6785903
Engine version: 0.100.2
Scanned directories: 1
Scanned files: 421
Infected files: 2
Data scanned: 51.68 MB
Data read: 96.56 MB (ratio 0.54:1)
Time: 16.545 sec (0 m 16 s)

まずは clamscan に頑張ってもらうが
ファイルは復活するので基本的な対策にはならない。

さらに

/etc/rc.d書き込み保護

[root@localhost ~]# find . -type l -name "K90*" -o -name "S90*" |grep -v crond|xargs rm -f && chattr -R +i /etc/rc.d/

同様に/lib以下も

[root@localhost ~]# rm -f /lib/libudev.so && chattr +i /lib

同様に保護

[root@localhost ~]# chattr -i /lib64 /bin /sbin /usr/sbin /usr/local
[root@localhost ~]# chmod 000 /etc/crontab

AVG もインストールしておく

Linux版 AVG インストール

/etc/crontab 設定の例

# anti virus
0 2 * * * root /usr/bin/avgupdate > /var/log/avgupdate.log 2>&1
0 5 * * * root /usr/bin/avgscan /bin /home /lost+found /misc /net /proc /sbin /srv /var /tmp /boot /etc /lib /opt /root /selinux /sys /usr --report=/root/avg_report.txt > /var/log/avgscan.log 2>&1

最後に

  • 不明なプロセスが動いていない、/lib/libudev.so が存在しない、/etc/cron.daily 以下が無事なのを確認する
  • /bin, /usr/bin, /etc/init.d 以下の怪しそうなファイルは地道に削除
  • 大丈夫そうになったらLANケーブルを繋ぐ
  • ls や ps といったコマンドの内容を書き換えるものもあるので注意
4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
1