运行时，我的进程未知top：

• 当我终止该进程时，它将再次使用另一个随机名称。
• 当我检查rc.d级别和init.d时，有许多类似这样的随机名称，并且这个名称也存在。
• 当我尝试apt-get删除或其他东西时，它又来了。
• 当我插入网络电缆时，它锁定了我们的整个网络。

您知道如何删除它吗？

这是什么服务/流程？

这是exe文件，当我删除它时，它也会再次出现。

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

当我检查“ netstat -natp”时，有一个建立的外部地址是98.126.251.114:2828。当我尝试向iptables添加规则时，它不起作用。但是在尝试然后重新启动此地址后，将此地址更改为66.102.253.30:2828。

操作系统是Debian Wheeze

我对这种随机的10位字符串木马有一些经验，它将为SYN泛洪发送大量数据包。

1. 减少您的网络

木马的原始文件来自/lib/libudev.so，它将再次复制并分叉。它还将添加cron.hourly名为的作业gcc.sh，然后它将在您的脚本中添加初始脚本/etc/rc*.d（Debian，CentOS可能是/etc/rc.d/{init,rc{1,2,3,4,5}}.d）

2. 使用root运行下面的脚本来更改文件夹访问权限：chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. 删除/etc/rc{0,1,2,3,4,5,6,S}.d今天创建的所有文件，名称看起来像S01????????。

4. 编辑您的crontab，删除中的gcc.sh脚本/etc/cron.hourly，删除gcc.sh文件（/etc/cron.hourly/gcc.sh），然后为crontab添加权限：sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. 使用此命令检查最新文件更改： ls -lrt

如果找到任何名为S01xxxxxxxx（或K8xxxxxxxx）的可疑文件，请将其删除。

6. 然后，您应该在没有网络的情况下重新启动。

然后，应该清除该木马，并且可以将文件夹特权修改为原始values（chattr -i /lib /etc/crontab）。

这被称为XORDDos Linux Trojan。技巧是与运行kill一起-STOP以暂停该进程，因此它不会创建新进程。

`kill -STOP PROCESS_ID`

我打赌你一美元，它是https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/。您的所有症状均与所描述的完全一样。

对我来说，有两种选择：

1. 对于使/ usr / bin中的文件混乱的特洛伊木马，我只能这样做：echo> /lib/libudev.so杀死特洛伊木马程序PID

2. 对于一个/ bin混乱的人（这里总是有5-10个进程运行分数chattr + i / bin并遵循rainysia提到的步骤

我们也面临着同样的问题，我们的服务器也被黑客入侵，我发现它们蛮力地强迫ssh登录并获得成功并将特洛伊木马注入到我们的系统中。

以下是详细信息：

少/ var / log / secure | grep“密码失败” | grep'222.186.15.26'| wc -l 37772开始

并在以下时间获得访问权限：接受来自222.186.15.26端口65418 ssh2的root用户密码

根据IP位置查找器，此ip属于中国某个地方。

纠正步骤： 请按照以下步骤操作：@rainysia

预防步骤 ：：

1. 据我说，当有人尝试ssh或访问您的服务器并多次失败时，应该有一些通知managemnet。
2. 如果您使用的是aws，gcp，azure等任何云平台，则网络速率控制器应该在那儿。

当我暴露默认端口以从家用计算机连接到远程访问时，我感染了这种鸡病毒。就我而言，这个网站帮助了我

脚步

1）列出每小时cron下的文件。如果您可以看到任何.sh文件，请打开它。

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2）如果.sh文件显示如下所示的相似数据，则表明它是病毒程序！

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3）现在，请不要着急！保持冷静和轻松：D

不要删除gcc.sh或不删除crontab。如果确实删除或删除它，则将立即生成另一个过程。您可以删除罪魁祸首脚本或将其禁用。[我更喜欢禁用它以向客户显示证明]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

要么

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4）使用top命令查看病毒或恶意文件（例如：“ mtyxkeaofa”），PID为16621，请勿直接杀死该程序，否则它将再次产生，但使用以下命令停止其运行。

root@vps- # kill -STOP 16621

删除/etc/init.d中的文件。或禁用它[我更喜欢禁用它以向客户显示证明]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

要么

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6）删除档案中的/ usr / bin。

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7）检查/ usr / bin归档文件的最新更改，如果其他可疑文件位于同一目录，也可以删除该病毒。

root@vps-# ls -lt /usr/bin | head

8）现在杀死恶意程序，它将不会产生。

root@vps-# pkill mtyxkeaofa

9）去除病毒体。

root@vps-# rm -f /lib/libudev.so

该木马也被称为Chinese Chicken Multiplatform DoS僵尸网络木马，Unix-Trojan.DDoS_XOR-1，嵌入式rootkit，

注意：如果无法找到.sh文件，则可以安装ClamAV，RKHunter并检查日志/报告以查找可疑/恶意文件。

链接到实际站点

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/