centosシステムに毒(ワカカカ)DoS:Linux/Xorddos!rfn

           ，            ，      ，      ，             ，
        ，      ，      。DoS:Linux/Xorddos!rfn :   ***    
                ll `which top`                          
   top                  /proc/   /exe             。
          kill –STOP    

crontab –l              /etc/crontab                    /var/log/cron        
               。
        ，lsattr /etc/crontab      +i           +i          。chattr +i /etc/crontab    

後でsecureのログを見て暴力的な解読があることを発見して、そしてこのIpはシステムに登録しました
そのスクリプトの内容を見てみると、cpのlibudev 4です.soからlibudev 4.so.6また実行して、あの兄弟达は私にどうしてcopyが1つ実行しているのかと闻いて、兄はその时愚かでした
why、ブログを書くときによく考えました.病原体を見つけたら、libudev 4を削除しただけです.so.6 libudev 4を削除するのではなく.soという任務は実行中にまた始まった.
このスクリプトには暗号化されていて見られません.しかし、以下のような内容が見られます.
次はnotepadで開いたコンテンツのスクリーンショットです
削除スクリプトが削除されたときにエラーが発生したのは、隠し権限+iがあるので削除をキャンセルすればいいからです.
そのタスクが実行されると/etc/rcになります.3.d/  rc.5.d init.dの下でいくつかの起動ファイルを生成して、あなたのtopが出てきたプロセスと同じです.削除されました.dでいいです.すべてソフト接続ですから.
その後、システムを再起動すれば問題ありません.
侵入を防ぐ
パスワードを複雑に変更し、ファイアウォールにソースアドレスをsshに制限しました.
当時のフローチャート
私は***を直接ノートパソコンのマイクロソフトの直接新聞の下の情報に置きます
http://antivirus.neu.edu.cn/scan/ssh.phpここの東北大学のネットセンターはちょうど***のipの中でどのように彼らのこのリストの方式を使うことがあります.
http://down.51cto.com/data/2453461ファイルのソースはここにあります.テストしたいなら、仮想マシンの中でこれを走ってもいいです.
次はネット検索の知識点です.

 
   http://www.clamav.net/documents/installing-clamav#rhel 
   https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html

clamavウイルス対策ソフトウェアのインストール:

yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y
cd  /var/lib/clamav
              ，         
rm main.cvd && rm daily.cvd && rm bytecode.cvd
wget http://database.clamav.net/main.cvd 
wget http://database.clamav.net/daily.cvd 
wget http://database.clamav.net/bytecode.cvd

freshclam更新ウイルスライブラリを実行します.これは、さっきダウンロードした3つのファイルが最新であるかどうかを見て、自動的に更新されるわけではありません.
https://blog.51cto.com/12832314/2120302これを見てもいいですね.
clamavでこのウイルスを殺す
clamavには2つのコマンドがあります.clamdscan、clamscanclamdscanコマンドは一般的にyumインストールで使用されます.clamdサービスを起動する必要があります.実行速度が速い前にservice clamd startを起動する必要があります.起動エラーはありません.

clamscan    ，     ，      ，      
clamscan -h
clamscan -r --remove (              ,    ，            ，     )
clamscan -r   --move=/      (      )
clamscan -r --bell -i / （                     ,bell      ）
clamscan --no-summary        
clamscan  -i           
     slamsdcan -r /               ，      slamsdcan          slamscan -r /
/usr/bin     

libudev4.so見つけた

      clamdscan  --no-summary -r /lib/ -i --remove  -l /tmp/aa.txt     
          ，   
kill -STOP 2899  （        cpu   command 10   ）
rm /lib/libudev4.so 
vim /etc/crontab      
rm  /etc/cron.hourly/gcc4.sh 
rm /etc/rc.d/init.d/               

その後iftop nethogsを削除してトラフィック状況を見ることができます
/usr/lib64/libgcj_bc.so.1.0.0: Heuristics.Broken.Executable FOUND 
/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND
上の2つは大丈夫です.私が中毒していない機械も上の問題を報告します.大丈夫です.後でclamscan-r/を直接使って上の間違いを報告しません
この図はclamdscan-r/の場合、エラーは無視できます.
これはlamscan-r/スキャンでウイルスを削除した後の状況なので、このコマンドを直接実行すればいいです.
転載先:https://blog.51cto.com/shaonian/2306535