本次实验使用Xorddos的病毒，作为模拟应急响应 ，自己的一次小计。

病毒清理

目录

本次实验使用Xorddos的病毒，作为模拟应急响应 ，自己的一次小计。

病毒清理

看到网上还有拓展知识

还有一种思路就是将linux磁盘挂载到Windows中，用火绒，360.....杀毒工具进行查杀可能会有奇效。

1.首先这个病毒文件被植入后，除了当前打开的终端不可在打开新的终端，如若刚好为有终端打开则可以用以下方法重新打开终端界面。

这里我们可以运用网上检索到的linux应急方式

linux 救援模式
https://blog.csdn.net/sadcd/article/details/104476885

linux 单用户模式
https://blog.csdn.net/wangkai_123456/article/details/78759684

2.通过这上面其中一种方式即可，重新使用终端命令行界面

打开终端后输入命令 发现没.so库

3.使用which命令 查看到这个命令的路径

4.没查到这个路径 百度搜了下应该是环境变量被改变了

参考链接
https://blog.csdn.net/OldBoyLingYun/article/details/118219248

 5.虽然不能用cat命令 但是可以使用它来补全看有什么文件。(这里需要用cat查看一下每个人中间.so文件所在位置可能有略微的差别)

这是两条命令 第一条设置环境变量 第二天设置软连接
LD_PRELOAD=/usr/lib64/libc-2.17.so ln -s /usr/lib64/libc-2.17.so /lib64/libc.so.6

6.接着就可以执行命令了，

7.我们先来查看一下进程信息

 8.杀掉进程后，⼜重新建⽴进程

 9.查询IP

 10.将其加⼊iptables⿊名单

iptables -I INPUT -s 185.199.225.78/22 -j DROP
iptables -I OUTPUT -s 185.199.225.78/22 -j DROP

11.查看计划任务发现恶意脚本

 12.查看/usr/bin⽬录下新建⽂件

 13.使⽤top命令查看进程，可以看到许多异常进程

 14.将进程⽬录卸载，然后将计划任务中的脚本删除

 15.再将/usr/bin下所有新建⽂件删除，以及开机⾃启⽂件清理

 16.将proc挂载，再将进程删除，进程特点随机英⽂，且守护进程为相反名字。

mount -t proc proc /proc

17.这里就可以重启一下看看病毒是否被完全清除。

18.重启后查看进程，没有木马相关程序即表明木马清理完成

看到网上还有拓展知识

参考链接
https://www.cnblogs.com/tssc/p/9265528.html

还有一种思路就是将linux磁盘挂载到Windows中，用火绒，360.....杀毒工具进行查杀可能会有奇效。

参考链接
https://blog.csdn.net/yuki5233/article/details/108489439