পার্ল রুটকিট অপসারণে ব্যথা

সুতরাং, আমরা অফিসে একটি জিওসরভিস ওয়েবসারভার জিনিস হোস্ট করি।

স্পষ্টতই কেউ এই বাক্সটি ভেঙেছে (সম্ভবত এফটিপি বা এসএসএসের মাধ্যমে), এবং এক ধরণের আইআর-পরিচালিত রুটকিট জিনিসটি রেখেছেন।

এখন আমি পুরো জিনিসটি পরিষ্কার করার চেষ্টা করছি, আমি প্রসেস পিডটি খুঁজে পেয়েছি যারা আইর্কের সাহায্যে সংযোগ স্থাপনের চেষ্টা করে, তবে আমি বুঝতে পারি না যে উদ্দীপনা প্রক্রিয়াটি (ইতিমধ্যে পিএস, পিএসটি, এলএসফের সাথে দেখা হয়েছে) প্রক্রিয়াটি পার্ল স্ক্রিপ্ট www ব্যবহারকারীর মালিকানাধীন, তবে পিএস অক্স | গ্রেপ শেষ কলামে একটি নকল ফাইল পাথ প্রদর্শন করে।

সেই পিডকে সনাক্ত করার এবং চালককে ধরার জন্য কী অন্য কোনও উপায় আছে?

উল্লেখ করতে ভুলে গেছেন: কার্নেলটি ২.6.২৩, যা মূল হয়ে উঠতে শোষণযোগ্য, তবে আমি এই যন্ত্রটিকে খুব বেশি স্পর্শ করতে পারি না, তাই আমি কার্নেলটি আপগ্রেড করতে পারি না

সম্পাদনা: lsof সাহায্য করতে পারে:

lsof -p 9481
কম্যান্ড পিআইডি ব্যবহারকারী এফডি টাইপ ডিভাইস সাইজ নোড NAMEss
পার্ল 9481 www সিডাব্লুড ডিআইআর 8,2 608 2 / এসএস
পার্ল 9481 www আরটিআই ডিআইআর 8,2 608 2 / এসএস পার্ল 9481 www
টিএসটি আরজি 8,2 1168928 38385 / ইউএসআর / বিন /
পার্ল ৫.৮.৮ এস পার্ল 9481 www মেইম আরইজি 8,2 135348 23286 / লিবি 64/ld- 2.5.সোস
পার্ল 9481 www মেম আরজি 8,2 103711 23295 /lib64/libnsl-2.5.soss
পার্ল 9481 www মেম আরজি 8,2 19112 23292 /lib64/libdl-2.5.soss
পার্ল 9481 www মেম আরজি 8,2 586243 23293 /lib64/libm-2.5.soss
পার্ল 9481 www মেম আরজি 8,2 27041 23291 / লিবি 64/libcrypt-2.5.soss
পার্ল 9481 www মেমি আরজি 8,2 14262 23307 /lib64/libutil-2.5.soss
পার্ল 9481 www মেম আরজি 8,2 128642 23303 /lib64/libpthread-2.5.soss
পার্ল 9481 www মেইম আরইজি 8,2 1602809 23289 / লিব 64 / লিবিসি -2.5.soss
পার্ল 9481 www মেইম আরইজি 8,2 19256 38662 / ইউএসআর / লিবি 64/perl5/5.8.8/x86_64-linux-threa ডি-মাল্টি / অটো / আইও / আইও.সোস
পার্ল 9481 www মেইম আরইজি 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d- মাল্টি / অটো / সকেট / সকেট.সোস
পার্ল 9481 www মেইম আরইজি 8,2 52512 23298 /lib64/libnss_files-2.5.ssss
পার্ল 9481 www 0r ফিফো 0,5 1068892 পাইপেস
পার্ল 9481 www 1W ফিফো 0,5 1071920 পাইপেস
Perl 9481 WWW 2W FIFO 0,5 1068894 pipess
Perl 9481 WWW 3u IPv4- র 130646198 বিভিন্ন TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)

আমি যদি আপনাকে কোনও পরামর্শ দিতে পারি তবে এটি আপনার পরিষ্কার করার সময় নষ্ট করা বন্ধ করা। ফরেন্সিক স্টাফের জন্য ওএসের একটি চিত্র পরে তৈরি করুন এবং সার্ভারটি পুনরায় ইনস্টল করুন।

দুঃখিত, তবে রুটকিট হওয়া থেকে নিজেকে সমাধান করার একমাত্র নিরাপদ উপায়।

পরে আপনি চিত্রটি পরীক্ষা করতে পারেন, নির্দিষ্ট কারণে, কেন এটি ঘটেছে।

আমার নিজের ব্যক্তিগত অভিজ্ঞতা থেকে, আমি এটি করেছি এবং পরে একটি অভ্যন্তরীণ ব্যবহারকারীর সন্ধান পেয়েছি যার একটি এসএসএইচ কী ছিল যাতে ২০০ open সালে ওপেনসেলের ত্রুটি রয়েছে।

আমি আশা করি, এটি জিনিসগুলি পরিষ্কার করে দেয়।

দ্রষ্টব্য:
আপনি যদি পুনরায় ইনস্টল করার আগে সার্ভারটিকে চিত্র / ব্যাকআপ করতে যাচ্ছেন তবে খুব সাবধান হন, কীভাবে আপনি এটি করেন। @ ডিফ্র্যাঙ্ক যেমন বলেছে, একটি বিশ্বস্ত মাধ্যম থেকে ব্যাকআপ পর্যন্ত বুট করুন।

আপনার রুটযুক্ত সার্ভার থেকে অন্য মেশিনের সাথে সংযোগ স্থাপন করা উচিত নয়, কারণ দুর্দান্ত রুটকিটগুলি এসএসএইচের মতো বিশ্বস্ত সেশনগুলির মাধ্যমে ছড়িয়ে দিতে সক্ষম বলে পরিচিত।

প্রক্রিয়াটি আরজিভি [0] পরিবর্তন করলে কমান্ডলাইন পরিবর্তন করা যেতে পারে। চেষ্টাls -l /proc/[pid]/exe

থেকে man 5 proc

এই ফাইলটি একটি প্রতীকী লিঙ্ক যা সম্পাদিত কমান্ডের আসল পথের নাম ধারণ করে। এই প্রতীকী লিঙ্কটি সাধারণত স্বীকৃত হতে পারে; এটি খোলার চেষ্টা করলে এক্সিকিউটেবল খুলবে। প্রক্রিয়া দ্বারা চালিত একই কার্যকরকরণের অনুলিপি চালানোর জন্য আপনি এমনকি / proc / [সংখ্যা] / exe টাইপ করতে পারেন number বহুবিশ্লেষিত প্রক্রিয়াতে, মূল থ্রেড ইতিমধ্যে বন্ধ হয়ে থাকলে এই প্রতীকী লিঙ্কের সামগ্রীগুলি উপলভ্য নয়

ps auxwf | less আপনাকে প্রক্রিয়াগুলির "বনদর্শন" দেয় যা আপনাকে দেখায় যে কী প্রক্রিয়াটি এই প্রক্রিয়াটি চালু করেছে (যদি না রুটকিট এটি আড়াল করে না থাকে, বা অ্যাপের পিতামাতা উপস্থিত না হয়ে থাকে এবং এটি আরিকে প্রতিরূপ করা না থাকে)।

এটি বেশিরভাগই একাডেমিক এবং সম্ভবত কেবল একটি টাইমওয়াস্টার strings -n 10 /proc/[pid]/memহতে পারে তবে স্ক্রোল অতীতটি দেখতে মজাদার হতে পারে। আপনি echo 0x7 > /proc/[pid]/coredump_filterজিডিবি ব্যবহার করতে এবং এতে gcoreসর্বাধিক সম্ভাব্য সবকিছু দিয়ে জোর করে জিডবি ব্যবহার করতে পারেন তবে প্রক্রিয়াটি মারা যায় যা আরও বিশ্লেষণকে অবরুদ্ধ করতে পারে।

তবে অবশ্যই অ্যারেনস্টারের পরামর্শ নিন। কেবলমাত্র ডেটা ব্যাক আপ করুন, ব্যাকআপগুলি থেকে এক্সিকিউটযোগ্য সবকিছু পুনরুদ্ধার করুন এবং আবার শুরু করুন start আপনার সম্ভবত ব্যাকআপগুলি থেকে ওয়েবসাইটটি পুনরুদ্ধার করা উচিত, প্রতিটি এইচটিএমএল বা পিএইচপি ফাইলগুলিতে দূষিত জাভাস্ক্রিপ্ট যুক্ত হতে পারে। আপনি যদি আইনানুগ পদক্ষেপ নেওয়ার বিষয়ে বিবেচনা করছেন তবে আপনি কেবল মেশিনটি আলাদা করে রাখতে চাইবেন, নেট থেকে এটি প্লাগ লাগিয়ে আনতে পারবেন, এবং ফরেনসিক বিশেষজ্ঞরা কাজ না করা পর্যন্ত আপনি যা করছেন তা বন্ধ করে দিন।

"ক্যাট / প্রোক / [প্রসেস আইডি] / সেমিডলাইন" চেষ্টা করুন যদিও এটি সত্যিকারের রুটকিট হলেও এটি নিজেকে আরও আড়াল করার জন্য কার্নেলটি পরিবর্তন করতে পারে।

আপনার পুনরায় ইনস্টল করা উচিত, আমি সম্মত। আপনি কি চরিত্রগুলিতে পালানোর চেষ্টা করেছেন? সম্ভবত এই স্ল্যাশগুলির মধ্যে একটি প্রকৃতপক্ষে কোনও ফাইলের নাম এবং কোনও ডিরেক্টরি নয়। খুব কমপক্ষে আপনার নির্দিষ্ট সময়ের অবধি host হোস্ট বা আইআরসি জেনারেলের আউটবাউন্ড ট্র্যাফিক ব্লক করতে আইপটেবলগুলি ব্যবহার করা উচিত। নেটস্ট্যাটও পরীক্ষা করে দেখুন।

আমি এখনই মনে করব আপনি পুনরায় ইনস্টল করেছেন। প্রক্রিয়াগুলি ট্র্যাক করার চেষ্টা এবং ফোরেনসিক করার চেষ্টা করা আপনার যুক্তিযুক্ত সময় নষ্ট করা কারণ এটি থেকে আইনতভাবে কোনও কিছু বিকাশের সম্ভাবনা খুব মিনিট হতে পারে এবং হ্যাকার সন্ধানের সম্ভাবনা যাইহোক বৃথা যায়। যদি না এটি কেবল আপনার গবেষণা এবং মজাদার হতে পারে এমন রুটকিটগুলি বিপরীত করতে আগ্রহী হয় তবে :)