最近云服务器 错，查看是被DDoS攻击了，经过一些努力，终于完成删除，现总结如下。

目录

一、检测命令是否被更换

二、查看木马源文件

 三、删除

3.1 在crontab计划任务中删除

3.2 删除计划任务文件 

3.3 删除libudev4.so木马源文件

四、删除开机启动项中的木马文件

4.1 删除开机启动木马文件

4.2 删除启动脚本中木马文件

五、检查和重启

5.1 查看是否有木马进程运行

5.2 重启

参考

一、检测命令是否被更换

安装rkhunter，此软件可以检测命令是否被DDoS恶意替换。

然而并没有发现命令被替换。看来这个杀手不太冷，哈哈哈。

注：如果发现命令被替换用yum -y reinstall XXXX 重新安装，XXXX为命令的组名。

二、查看木马源文件

用top命令查看当前进程，发现恶意进程名为一串十位随机字母。kill进程并没有作用。

ll /proc/XXXX （XXXX为进程ID）查看进程信息，可以看到进程路径。

将木马文件转码并保存到自定义目录

 在windows上运行以下命令（注意是windows上）获取把服务器上的病毒文件

用记事本打开后如下图，发现DDoS将病毒文件gcc.sh放到了crontab计划任务中。

打开crontab如图，发现最下面多了两个任务gcc.sh、gcc4.sh

打开gcc4.sh如图，可见/lib/libudev4.so和/lib/libudev4.so.6为木马文件。

 三、删除

3.1 在crontab计划任务中删除

在crontab计划任务文件中清除，清除后对crontab添加i属性防止修改。

3.2 删除计划任务文件 

进入/etc/cron.hourly目录，发现还有一个mludiqpla.sh也为木马文件，删除gcc.sh、gcc4.sh和mludiqpla.sh

3.3 删除libudev4.so木马源文件

进入/lib

在删除libudev4.so时，发现删除之后会马上新建。

使用top或pstree -p命令发现木马进程为tyitmnxqip，PID为17063，不要直接kill进程，不然会马上再生。

使用kill -STOP 17063停止进程。

删除/etc/init.d中木马文件，find /etc -name ‘*tyitmnxqip*’ | xargs rm -f

删除/usr/bin中木马文件，rm -f /usr/bin/tyitmnxqip

删除/usr/bin中的可疑文件，一般为十位随机数，ls -lt /usr/bin | head

杀掉木马进程现在不会再生，kill -9 17063

现在可以进入/lib，现在可以删除libudev4.so;libudev4.so.6

四、删除开机启动项中的木马文件

4.1 删除开机启动木马文件

开机启动项位于/etc/rc*/目录下，/etc/rc*/init.d中为软连接

如图红色标出的为木马文件，全部删除。它们以K90或S90开头，有些不超过十位数也为木马文件。

4.2 删除启动脚本中木马文件

删除/etc/init.d中十位随机数（个别不超过十位）的木马文件。

五、检查和重启

5.1 查看是否有木马进程运行

5.2 重启

如果没有木马进程运行，重启服务器

参考

https://sebastianblade.com/linux-xorddos-trojan-removal/

https://jingyan.baidu.com/article/a3f121e4be737ffc9152bb6c.html