XORDDoS Linux Trojan را از Linux Server حذف کرده و از آن جلوگیری کنید

سعید ناصریسعید ناصریآگوست 24, 20202min0

آلودگی سرورهای لینوکس به این تروجان دو علامت اصلی دارد:
1- بار زیاد روی سرور به گونه ای که عملاً سرور قادر به پاسخگویی به درخواست های غیر از خود trojan نیست. خوشبختانه ، این بدافزار چیزی را حذف یا رمزنگاری نمی کند. این فقط سرور شما را به شبکه زامبی خود متصل می کند و سرور به حالت DoS می رود. به همین دلیل اصطلاح DDoS به اسم آن درج شده است.
2- وجود فرآیندهای مشکوک و ناشناخته با بار زیاد cpu. عکس زیر را داشته باشید:

این عکس را هنگامی که برای اولین بار روی فرآیند مشکوک kill-STOP کلیک کردم ، گرفتم. من اولین کار خودم را فاش کردم ؛-)

اقدامات لازم:

1. ابتدا صبر کنید تا بدانید که در حال حاضر فرآیند مشکوک خوردن cpu چیست. در مورد ما ، این همان چیزی است که در تصویر مشاهده می کنید. اما فقط یکبار آن را بکشید. خواهید دید که با هر قتل (معمولاً بعد از 3 ثانیه) نامهای جدیدی ظاهر می شوند! تاکنون روند با PID برابر با 22674 مشکوک است. این PID را که اکنون به آن احتیاج داریم ، نگه دارید.

2. این تروجان پرونده های اجرایی خود را در مسیر usr / bin / قرار می دهد ، بنابراین باید تمام آن پرونده های مخرب را به صورت دستی پاک کنید. موارد زیر را انجام دهید:

من این را قبلاً گفتم و خاطرنشان كردم كه اگر شما فقط فرایند را بكشید یا -9 را بكشید ، روند مشابه دیگری ایجاد خواهد شد. در حال حاضر ، فقط -STOP PID را بکشید تا تروجان نتواند یک فرآیند جدید ایجاد کند.
بنابراین اکنون به مسیر usr / bin / path بروید. یک پرونده با نام فرآیند مشکوک که پیدا کردید وجود دارد و در بالا مشاهده می شود. علاوه بر این ، یک پرونده کامل با نام های مختلف. بنابراین در مثال ما باید پرونده ای به نام hgmjzjkpxa وجود داشته باشد. اکنون پرونده ای را که شما کشتید-STOP در مرحله قبل nano (یا vim یا هر چیز دیگری) nano کنید. چی میبینی؟ به مطالب خوب توجه کنید. نیازی به تجزیه و تحلیل نیست ، فقط کافی است آن را برای مبارک بگذارید ، زیرا می خواهید مطالب هر یک از پرونده ها را در usr / bin / به همان روش بررسی کنید و هرکدام که الگویی شبیه به یک روند مشکوک با

حذف. ممکن است خیلی زیاد باشد ، ممکن است نباشد. بنابراین در حال حاضر ، کلیه پرونده های مشابه فرآیند مشکوک را از طریق usr / bin / path به صورت دستی حذف کنید.

هشدار: مراقب باشید در حین انجام rm سوت نزنید ، هر وقت نکشید ، تمام دارویی را که ندارید پاک کنید! فقط روی usr / bin / خود پرونده مشکوک کلیک کنید.

3- پرونده اصلی اجرایی این تروجان libudev.so نام دارد و معمولاً در lib / libudev.so قرار دارد. اگر در آنجا نباشد ، آن را با "find / -type f-name" libudev.so پیدا کنید. این پرونده وظیفه ایجاد همان روندی را دارد که cpu را مصرف می کند ، یعنی hgmjzjkpxa.
این پرونده همچنین یک کار سفارشی با نام cron.sh را درون cron.hourly ایجاد کرده و اسکریپت اولیه آن را در /etc/rc*.d قرار می دهد (مسیر فوق در Debian و CentOS می تواند /etc/rc.d/{init ، rc 1،2،3،4،5} d. d OK). بنابراین باید مجدداً به پوشه / lib دسترسی پیدا کرده و پرونده libudev.so را حذف کنید. دستور کاریکاتور زیر را راه اندازی می کند:

/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so&& chattr + i / lib

/ chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so&& chattr + i / lib

4- اکنون تمامی پرونده ها را در مسیرهای /etc/rc{0،1،2،3،4،5،6،S}.d که امروز ایجاد شده اند ، حذف کنید.

امروز از ls ​​–lh استفاده کنید تا دریابید که کدام پرونده ها در پوشه های rc من هستند. برای دیدن آخرین تغییرات از ls ​​–rt استفاده کنید.

پرونده های مشکوک که الگوی نامگذاری مشابهی با فرآیند مشکوک دارند از پوشه های rc حذف کنید. به عنوان مثال S01hgmjzjkpxa. یا حتی ممکن است نام libudev را داشته باشد ، به عنوان مثال: K01libudev. پاک کردن این موارد به صورت دستی با rm -f.

5. در داخل پوشه /etc/cron.hourly/ اسکریپتی به نام gcc.sh. وجود دارد. آن را با rm -f پاک کنید.

6. سرور crontab را با دستور زیر ویرایش کنید. این دستور crontab را به گونه ای تغییر می دهد که اولا مقادیر cron تنظیم شده روی سرور از قبل حفظ شده و ثانیاً ، مقدار تعیین شده توسط پوسته تزریق شده ، یعنی gcc.sh را نیز حذف می کند:

sed & # 39؛ /gcc.sh/d&#39؛ / etc / crontab> /etc/crontab.fixed&& mv /etc/crontab.fixed / etc / crontab && chmod 0000 / etc / crontab && chattr + i / etc / crontab

sed & # 39؛ /gcc.sh/d&#39؛ / etc / crontab> /etc/crontab.fixed&& mv /etc/crontab.fixed / etc / crontab && chmod 0000 / etc / crontab && chattr + i / etc / crontab

7. تاکنون از شر تروجان خلاص شده اید ، اما از آنجا که این تروجان از طریق حملات نیروی بی رحم وارد شده و به آن وارد خواهد شد ، باید یک بار رمز اصلی root را در اینجا تغییر داده و یک راه اندازی مجدد خوب به سرور بدهید. یک گذرواژه تصادفی و طولانی ، به عنوان مثال ، 20 کاراکتر ، سرور را راه اندازی مجدد کنید و آن را & # 39؛

بعد از راه اندازی مجدد ، یک قسمت دیگر را بدست آورید. هیچ فرآیند مشکوکی نداشته باشید و بار cpu باید عادی و متناسب با ترافیک سرور باشد. در آخر ، از دستور زیر برای بازگرداندن دسترسی قبلی به lib / و غیره / crontab / استفاده کنید:

chattr -i / lib / etc. / crontab

chattr -i / lib / etc. / crontab

جلوگیری

8. اول از همه ، توصیه می شود دسترسی ریشه به ssh را با استفاده از ACL محدود کنید ، و برای مثال در ACL خود ، دسترسی ریشه به ssh را به IP های خاص محدود کنید.
9. دوم ، راه حل های ضد Brute Force را جدی بگیرید. تنظیم CSF / LDF در لینوکس را جدی بگیرید. همچنین ابزار قدیمی و قدرتمند fail2ban وجود دارد که برای حملات وحشیانه نیرو طراحی شده است و البته شما نمی توانید همزمان با CSF / LFD از آن استفاده کنید. شما باید یکی را بگیرید.
10. سیستم عامل خود را به روز کنید. در ویندوز با تنظیم برنامه و در لینوکس با cron.
11- یک راه حل ضد بدافزار قوی داشته باشید و آنها را به روز کنید. به یاد داشته باشید که حتی بهترین آنتی ویروس های جهان برخی بدافزارها را دور می زنند. وای ، آنتی ویروس هنوز به روز نشده است!
12. از ابزارهایی استفاده کنید که تغییرات را در سیستم پرونده گزارش می دهند. مانند fail2ban در لینوکس. به محض تغییر سیستم فایل ، می توانید fail2ban را برای دریافت ایمیل تنظیم کنید.

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

12 − دو =