ডিবিয়ান 8 ভিএম ওয়েবসভারে ডিডোএস ভাইরাস সংক্রমণ (ইউনিক্স পরিষেবা হিসাবে)


14

আমি কয়েক বছর ধরে ওকেনোস সার্ভিসে ভার্চুয়াল মেশিনে একটি ছাত্র দলের জন্য একটি (সম্পূর্ণ আপডেট হওয়া) ওয়ার্ডপ্রেস বজায় রাখি। আজ, হেল্পডেস্ক আমাকে জানিয়েছে যে আমি ডিডিওএস আক্রমণ চালাচ্ছি, যা - অবশ্যই - আমি নই (এই পরিষেবাদিতে আমার একাডেমিক শংসাপত্র যুক্ত আছে ..)। তারা মেশিনটি স্থগিত করার পরে এবং আমি তাদের মেইলিং সিস্টেমে জ্বলে ওঠার পরে আমি কী ঘটেছে তা জানার চেষ্টা করেছি।

প্রথমত, আমি ps -ejকী চলছে তা যাচাই করার জন্য একটি চালাচ্ছি:

root@snf-25181:~# ps -ej
1545 1545 1545 ? 00:00:00 console-kit-dae
1618 1057 1057 ? 00:00:00 gdm-session-wor
1632 1632 1632 ? 00:01:40 rghuoywvrf
1767 1767 1767 ? 00:00:00 sshd
1769 1769 1769 ? 00:00:00 systemd
1770 1769 1769 ? 00:00:00 (sd-pam)
1775 1767 1767 ? 00:00:00 sshd
1776 1776 1776 pts/0 00:00:00 bash
1849 1849 1776 pts/0 00:00:00 su
1870 1870 1776 pts/0 00:00:00 bash
2246 0 0 ? 00:00:00 kworker/0:0
2797 839 839 ? 00:00:00 apache2
3158 3158 3158 ? 00:00:00 bvxktwwnsb
3162 3162 3162 ? 00:00:00 bvxktwwnsb
3163 3163 3163 ? 00:00:00 bvxktwwnsb
3164 3164 3164 ? 00:00:00 bvxktwwnsb
3165 3165 1776 pts/0 00:00:00 ps

Bvxktwwnsb এবং rguoywvrf লক্ষ্য করুন

তারপরে আমি ps auxপরিষেবাগুলি (আবার, একটি পুচ্ছ) পেতে একটি করেছি:

Debian-+  1629  0.0  0.0 178300  4444 ?        Sl   16:53   0:00 /usr/lib/dconf/dconf-service
root      1667  0.0  0.0  30744  4436 ?        Ss   16:53   0:00 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant
root      1670  0.0  0.1 299588  9884 ?        Ssl  16:53   0:00 /usr/lib/packagekit/packagekitd
root      1674  0.0  0.1 1055004 6168 ?        Ssl  16:53   0:00 /usr/sbin/console-kit-daemon --no-daemon
www-data  1923  0.0  0.1 240964  8112 ?        S    16:53   0:00 /usr/sbin/apache2 -k start
pankgeo+  5656  0.0  0.0  27416  3424 ?        Ss   17:03   0:00 /lib/systemd/systemd --user
pankgeo+  5657  0.0  0.0 143108  2408 ?        S    17:03   0:00 (sd-pam)   
root      5893  0.0  0.1 102420  6428 ?        Ss   17:04   0:00 sshd: pankgeorg [priv]
pankgeo+  5904  0.1  0.0 102560  4128 ?        S    17:04   0:02 sshd: pankgeorg@pts/0
pankgeo+  5905  0.2  0.1  16816  6388 pts/0    Ss+  17:04   0:04 -bash      
root      7443  0.0  0.1 102420  6496 ?        Ss   17:07   0:00 sshd: pankgeorg [priv]
pankgeo+  7448  0.0  0.0 102552  4160 ?        S    17:07   0:00 sshd: pankgeorg@pts/1
pankgeo+  7449  0.0  0.1  16468  6228 pts/1    Ss+  17:07   0:01 -bash      
root     17351  0.0  0.0      0     0 ?        S    17:15   0:00 [kworker/0:0]
root     18446  0.0  0.0      0     0 ?        S    17:18   0:00 [kworker/0:2]
root     18488  0.1  0.0      0     0 ?        S    17:18   0:01 [kworker/1:1]
root     22680  1.5  0.0      0     0 ?        S    17:28   0:08 [kworker/1:0]
root     24173  0.0  0.1 102420  6416 ?        Ss   17:31   0:00 sshd: pankgeorg [priv]
pankgeo+ 24181  0.3  0.0 102420  3360 ?        S    17:31   0:01 sshd: pankgeorg@pts/2
pankgeo+ 24182  0.0  0.0  16480  6112 pts/2    Ss   17:31   0:00 -bash      
root     25316  2.3  0.0      0     0 ?        S    17:33   0:06 [kworker/1:2]
root     26777  0.0  0.0      0     0 ?        S    17:35   0:00 [kworker/0:1]
root     26778  0.0  0.0      0     0 ?        S    17:35   0:00 [kworker/0:3]
root     27300  0.0  0.0   1424  1040 ?        Ss   17:38   0:00 cat resolv.conf  #note                        
root     27306  0.0  0.0   1424  1036 ?        Ss   17:38   0:00 gnome-terminal   #from                     
root     27307  0.0  0.0   1424  1036 ?        Ss   17:38   0:00 ifconfig eth0    #here                    
root     27308  0.0  0.0   1424  1040 ?        Ss   17:38   0:00 id               #(DDOS?)         
root     27309  0.0  0.0   1424  1040 ?        Ss   17:38   0:00 ifconfig                        
pankgeo+ 27315  0.0  0.0  11136  2044 pts/2    R+   17:38   0:00 ps aux     

আইটেমগুলি নোট করুন [-4: -1]। তারপরে আমি অনলাইনে খুঁজে পেয়েছি সুতরাং আমি এটি chkconfig --listচালাই এবং এটি পপআপ হয়ে গেল:

root@snf-25181:/home/pankgeorg# chkconfig --list
acdnfhruvx 0:off 1:off 2:off 3:off 4:off 5:off 6:off
flyymwddwn 0:off 1:off 2:off 3:off 4:off 5:off 6:off

1 থেকে 5 যেখানে onআমি কিন্তু তাদের ঘুরিয়েছি off। তারপরে আমি আবার শুরু করেছি এবং এটির নাম পরিবর্তন হয়েছে। তারপরে আমি locateডি acdnfhruvxএবং এই পপ আউট:

root@snf-25181:~# locate acdnfhruvx
/etc/init.d/acdnfhruvx
/etc/rc1.d/S01acdnfhruvx
/etc/rc2.d/S01acdnfhruvx
/etc/rc3.d/S01acdnfhruvx
/etc/rc4.d/S01acdnfhruvx
/etc/rc5.d/S01acdnfhruvx

এর মধ্যে একটির লিখিত সামগ্রী (এগুলি সব একই): root @ snf-25181: ~ # বিড়াল /etc/init.d/acdnfhruvx #! / বিন / এস

chkconfig: 12345 90 90
description: acdnfhruvx
BEGIN INIT INFO
Provides: acdnfhruvx
Required-Start:
Required-Stop:
Default-Start: 1 2 3 4 5
Default-Stop:
Short-Description: acdnfhruvx
END INIT INFO
case $1 in
start)
/bin/acdnfhruvx
;;
stop)
;;
*)
/bin/acdnfhruvx   
;;
esac    

এটি পুনরায় চালু করার পরে পাওয়া গেল, /bin/acdnfhruvxকোথাও ছিল না। পরে আমি এক্স (ELF ফর্ম্যাট) পেয়েছি /usr/bin(আমার মধ্যে মনে হয় যদি আপনার মধ্যে কোনও সাহসী মানুষ থাকে তবে আমি এটি ভাগ করতে পারি)

কমান্ডগুলির একটি বিস্তৃত তালিকা আমি দেখেছি যে মেশিনটি অরিজিনটি না জেনে চালাচ্ছে (ক্রমান্বয়ে ps -ejএস এবং ps auxএস থেকে:

root     27755  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 ifconfig                        
root     27759  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 who                        
root     27760  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 echo "find"                        
root     27761  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 top                        
root     27762  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 id                        
root     27805  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 gnome-terminal                        
root     27809  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 ifconfig                        
root     27810  0.0  0.0   1424  1044 ?        Ss   17:40   0:00 sh                        
root     27811  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 sleep 1                        
root     27822  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 netstat -an                        
root     27826  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 top                        
root     27829  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 bash                        
root     27833  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 cd /etc                        
root     27834  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 whoami                        
root     27822  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 netstat -an                        
root     27826  0.0  0.0   1424  1036 ?        Ss   17:40   0:00 top                        
root     27829  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 bash                        
root     27833  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 cd /etc                        
root     27834  0.0  0.0   1424  1040 ?        Ss   17:40   0:00 whoami                        

pkillযেহেতু এটি সবসময় কাটাচামচ থেকে ফাইল মুছে ফেলার ING, অর্থহীন নয় /etc/init.d/এবং /{usr/,}binপুনর্সূচনা পরে একটি নতুন (অভিন্ন) এক্সিকিউটেবল সংস্করণ আছে যেহেতু এছাড়াও অর্থহীন নয়। এই সমস্ত তথ্যের পরেও, আমার দুটি প্রশ্ন রয়েছে: আমি কীভাবে সংক্রামিত হয়েছিল তা জানতে পারি? আমি কি এ থেকে মুক্তি পেতে পারি? তুমাকে অগ্রিম ধন্যবাদ!


যদি আপনার সার্ভারের সাথে আপোস করা হয়ে থাকে তবে এটি কীভাবে সংক্রামিত হয়েছিল এবং কী করা হয়েছে তা বলা খুব কঠিন হবে, কারণ অনুপ্রবেশকারীকে লগ ফাইলগুলি মুছে ফেলার / অপসারণের পক্ষে এটি ক্ষুদ্র। সর্বোত্তম অনুশীলন হ'ল লগ ফাইলগুলির অন্য কোনও স্থানে অফসাইট স্টোরেজ রাখা, সুতরাং আপনার মেশিনটি আপস করা থাকলে আপনার অন্তত লগগুলি ব্রেক-ইন হওয়ার দিকে নিয়ে যাবে। পরিশেষে আমি মনে করি আপনাকে পুনরায় ইনস্টল করতে হবে - একটি পরিষ্কার অনির্দিষ্ট সিস্টেম নিশ্চিত করার একমাত্র উপায়।

উত্তর:


24

আমরা সুয়েতে অনুরূপ সংক্রমণের শিকার হয়েছি, সম্ভবত ssh brute ফোর্স লগইনের মাধ্যমে ।

পরিষ্কার করার পদক্ষেপগুলি হ'ল:

  1. ফাইলটি পরীক্ষা করুন /etc/crontab। আপনার সম্ভবত প্রতি 3 মিনিটে ভাইরাস কল করার জন্য একটি এন্ট্রি রয়েছে

    */3 * * * * root /etc/cron.hourly/cron.sh
    

    এই লাইনটি মুছুন।

  2. ভাইরাসটির মূল প্রক্রিয়াটি চিহ্নিত করুন। rguoywvrfআপনার ps -ej। অন্যান্য প্রসেস ক্রমাগত তৈরি এবং হত্যা করা হয়।
  3. এটি বন্ধ করুন, এটি হত্যা করবেন না, সহ kill -STOP 1632
  4. অন্য একজনের সাথে যাচাই করুন ps -ejযে কেবল পিতামাতা বেঁচে থাকেন, শিশুদের দ্রুত মারা যাওয়া উচিত
  5. এখন আপনি ফাইল মুছে দিতে পারেন /usr/binএবং /etc/init.d। ভাইরাসের বিভিন্ন রূপ রয়েছে যা ব্যবহার করে /bootবা করে /binls -lt | headসম্প্রতি সংশোধিত ফাইলগুলির সন্ধানের জন্য ব্যবহার করুন ।
  6. স্ক্রিপ্টটি চেক করুন /etc/cron.hourly/cron.sh। আমাদের সার্ভারে এটি ভাইরাসটির অন্য অনুলিপিটি কল করছিল /lib/libgcc.so। দুটি ফাইলই মুছুন।
  7. এখন আপনি অবশ্যই rguoywvrfপ্রক্রিয়াটি হত্যা করতে পারেন ।

1
/etc/rc6.d/ এ কিছু খারাপ স্ক্রিপ্ট রয়েছে, তারা K90 দিয়ে শুরু হয়
mazgalici

1
একটি find / -name "*rguoywvrf*"প্রতিস্থাপন, অন্যান্য ফাইল খুঁজে পেতে rguoywvrfযাই হোক না কেন আপনার ফাইলের সঙ্গে নামে নামকরণ করা হয়
মোহাম্মদ হাফেজ


3

আপনার প্রশ্নের উত্তর দিতে:

  1. প্রয়োজনীয় সতর্কতা (সাইট সিসলগ, আইডিএস, লগ মনিটরিং ইত্যাদি) ব্যতীত আপনি সম্ভবত কখনই আবিষ্কার করবেন না।
  2. আমি ম্যাট সঙ্গে একমত হতে হবে। এমন কোনও মেশিন চালু হওয়ার জন্য আপনি সময় বিনিয়োগ করবেন যা আপনি কখনই বিশ্বাস করতে পারবেন না। আমার মতে, সর্বোত্তম সমাধানটি হ'ল ডেটা সাইট থেকে সরিয়ে নেওয়া এবং মেশিনটি পুনরায় করা।

অবশ্যই, এটি মূল্যবান জন্য কেবল এটি আমার মতামত। যদিও, মেশিনটি পুনরায় করার সময়, আপনি অবশ্যই প্রয়োজনীয় সতর্কতা অবলম্বন করতে পারেন এবং ভবিষ্যতে নিজেকে আরও সুরক্ষিত করতে পারেন।


1

এটি একটি হুমকি যা অনেকগুলি সমস্যা উত্পন্ন করে কারণ একটি ডিডিওএস আক্রমণ চালায় এবং ৮০ বন্দরটিতে বহিরাগত সার্ভারের সাথে হাজার হাজার সংযোগ তৈরি করে, তবে আমি ইচ্ছাকৃতভাবে বা না করি না যদি না রাউটার / ফায়ারওয়ালগুলি জমা না হয় তবে আপনার সংযোগটি ওভারলোড করে না ডিডিওএস আক্রমণের নিয়ম।

এখন, আপনি কীভাবে এই হুমকি সরাতে পারেন?

  1. আপনার হুমকি, ব্যবহার খুঁজে

CentOS / RedHat

ps -ely 

ডেবিয়ান

ps -ej

তুমি দেখবে:

3158 3158 3158 ? 00:00:00 bvxktwwnsb
3162 3162 3162 ? 00:00:00 bvxktwwnsb
3163 3163 3163 ? 00:00:00 bvxktwwnsb
3164 3164 3164 ? 00:00:00 bvxktwwnsb

" bvxktwwnsb" আপনার লক্ষ্য

  1. তারপরে আপনাকে আপনার লিনাক্স সার্ভারটি একক ব্যবহারকারী মোডে বুট করতে হবে, মাল্টুউজার মোডে যে কোনও পরিবর্তন করা অর্থহীন, সাধারণত আপনি নিম্নলিখিত কমান্ডটি দিয়ে স্যুইচ করতে পারেন:

    telinit এস

  2. এর পরে আপনাকে প্রারম্ভকালে চালিত ফাইলগুলি মুছতে হবে

Centos / redhat পদ্ধতিতে হয়

পদক্ষেপ ক)

cd /etc/init.d          
ll -tr 

শেষ কমান্ডটি আপনার ফাইলগুলি বিপরীত তারিখে অর্ডার করে, আপনি শেষের মতো শেষের 1 বা 2 টি ফাইল দেখতে যাচ্ছেন নামটির মতো

acdnfhruvx
kmrkuwbrng
gqpjiestmf
bvxktwwnsb

আপনার সামগ্রীটি দেখতে হবে

cat /etc/init.d/gqpjiestmf

সাধারণত আপনি একই নামে / বিন বা / ইউএসআর / এসবিনে অবস্থিত কোনও ফাইলের সম্পাদনা দেখতে পাবেন

আপনার উভয় ফাইল মুছতে হবে।

পদক্ষেপ খ)

cd /etc/
ll -tr 

আপনার ক্রন্টব ফাইলটি সম্প্রতি পরিবর্তিত হয়েছে কিনা তা পরীক্ষা করে দেখুন, এর সামগ্রীগুলি দেখুন, একটি লাইন অনুসন্ধান করুন

*/3 * * * * root /etc/cron.hourly/udev.sh

অথবা

*/3 * * * * root /etc/cron.hourly/crontab.sh 

আপনার ফাইলটি সম্পাদনা করতে হবে এবং সেই লাইনটি সরিয়ে ফেলতে হবে।

বিষয়বস্তু পরীক্ষা udev.shবা crontab.shএবং আপনি ভালো কিছু দেখতে হবে

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libgcc4.so /lib/libgcc4.4.so
/lib/libgcc4.4.so

আপনাকে "libgcc4.4.so" ফাইল বা সেখানে উল্লিখিত অন্য যে কোনও ফাইল সরিয়ে ফেলতে হবে (উদাহরণস্বরূপ অনুমতিগুলি পরিবর্তন করাও কার্যকর হবে chmod a-x libgcc.so)

আপনার সার্ভারটি পুনরায় বুট করুন এবং সবকিছু ঠিক আছে।

ডিবিয়ান / উবুন্টু এবং আত্মীয়দের জন্য ব্যবহার করুন:

locate bvxktwwnsb

এবং / ইত্যাদি এবং / বিনের মধ্যে থাকা ফাইলগুলি মুছুন

আশা করি এটি অনেক লোককে সাহায্য করবে।


আপনার উত্তর পড়া শক্ত হতে পারে কারণ এটি সঠিকভাবে ফর্ম্যাটেড বলে মনে হচ্ছে না। আপনার যদি সাহায্যের প্রয়োজন হয়, সহায়তা কেন্দ্রের পোস্টগুলি সঠিকভাবে ফর্ম্যাট করার বিষয়ে আরও তথ্য রয়েছে।
বিডব্লুড্রাকো

0

আমি কিছু পেয়েছি !!!

/ etc / crontab সন্ধান করুন

আমার সার্ভারে, কিছু কার্যকর করার জন্য প্রতি 3 মিনিটে একটি ক্রোনজব রয়েছে:

*/3 * * * * root /etc/cron.hourly/cron.sh

cat cron.sh

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libgcc.so /lib/libgcc.so.bak
/lib/libgcc.so.bak

আমার সমাধান:

  1. এর জন্য অনুমতি নিষ্ক্রিয় করুন (rwx 000): /etc/init.d/ us / usr} / বিন / /lib/libgcc.so
  2. / etc / crontab এ ক্রোনজব এন্ট্রি সরান
  3. /etc/cron.hourly/cron.sh এ ক্রোন স্ক্রিপ্ট সরান
  4. সার্ভারটি পুনরায় চালু করুন

দ্রষ্টব্য: ফাইলের অবস্থানগুলি পৃথক হতে পারে


0

Serhii সমাধান পরিপূরক অতিরিক্ত কৌশল। সমস্ত জিনিস প্রক্রিয়া বন্ধ করা কঠিন হতে পারে কারণ এই জিনিসটি নেটওয়ার্ক এবং সিপিইউ স্প্যাম করে। অতএব /etc/crontabসমস্ত অদ্ভুত প্রক্রিয়া স্বয়ংক্রিয়ভাবে বন্ধ করতে আপনার এই লাইনটি যুক্ত করুন (প্রতি তিন মিনিটে নামের সাথে 10 টি অক্ষরযুক্ত সমস্ত প্রক্রিয়া বন্ধ করে দেয়):

*/3 * * * * root pstree -ap | grep -E -- '-[a-z]{10},' | cut -d, -f2 | xargs kill -STOP 2>/dev/null

প্রক্রিয়াটি আর ফিরে আসবে না তা নিশ্চিত করার জন্য পরিষ্কার করার পরে এটি করা ভাল। আপনার বক্সটি পরিষ্কার না হওয়া অবধি এটি চালিয়ে যান।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.