আমি যখন চালাই তখন আমার একটি অজানা প্রক্রিয়া থাকে top:

• আমি যখন প্রক্রিয়াটি হত্যা করি তখন এটি আবার অন্য এলোমেলো নাম নিয়ে আসে।
• যখন আমি আরসি.ডি স্তরগুলি পরীক্ষা করি এবং ডি.ডি.ডি. এর মতো অনেকগুলি এলোমেলো নাম রয়েছে এবং এটি এখানেও রয়েছে।
• যখন আমি এপস-রিমুভ করার বা এলিসকে এন্টিং করার চেষ্টা করি এটি আবার আসবে।
• যখন আমি নেটওয়ার্ক কেবলটি প্লাগ করি তখন এটি আমাদের পুরো নেটওয়ার্কটিকে লক করে রাখে।

আমি কীভাবে এটি সরিয়ে ফেলতে পারি তার কোনও ধারণা আছে?

এই পরিষেবা / প্রক্রিয়া কি?

এটি এক্সিপ ফাইল, যখন আমি এটি মুছব, এটি আবারও আসবে।

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

আমি যখন "নেটস্ট্যাট -নাটপ" চেক করি সেখানে একটি প্রতিষ্ঠানের বিদেশী ঠিকানা 98.126.251.114:2828 হয়। আমি যখন iptables এ নিয়ম যুক্ত করার চেষ্টা করি তখন এটি কার্যকর হয় না। চেষ্টা করার পরে এবং তারপরে পুনরায় চালু করুন এই ঠিকানাটি 66.102.253.30:2828 এ পরিবর্তিত করুন।

ওএস হ'ল ডেবিয়ান হুইজ

আমার এই এলোমেলো 10 বিট স্ট্রিং ট্রোজান সম্পর্কে কিছু অভিজ্ঞতা আছে, এটি এসওয়াইএন বন্যার জন্য প্রচুর প্যাকেট প্রেরণ করবে।

1. আপনার নেটওয়ার্ক কেটে দিন

ট্রোজানের কাঁচা ফাইল এসেছে /lib/libudev.so, এটি অনুলিপি করে আবার কাঁটাচামচ করবে। এটি cron.hourlyনামযুক্ত কাজও যুক্ত করবে gcc.sh, তারপরে এটি আপনার প্রাথমিক স্ক্রিপ্ট যুক্ত করবে /etc/rc*.d(দেবিয়ান, সেন্টোস হতে পারে /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

2. rootফোল্ডারের সুবিধাগুলি পরিবর্তন করতে নীচের স্ক্রিপ্টটি চালাতে ব্যবহার করুন :chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. /etc/rc{0,1,2,3,4,5,6,S}.dআজ তৈরি করা সমস্ত ফাইল মুছুন , নামটির মতো দেখতে S01????????।

4. আপনার ক্রোনট্যাব সম্পাদনা করুন, এতে gcc.shস্ক্রিপ্টটি /etc/cron.hourlyমুছুন, gcc.shফাইলটি মুছুন ( /etc/cron.hourly/gcc.sh) তারপরে আপনার ক্রন্টাবের জন্য সুবিধা যুক্ত করুন:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. সর্বশেষতম ফাইল পরিবর্তনগুলি পরীক্ষা করতে এই কমান্ডটি ব্যবহার করুন: ls -lrt

যদি আপনি S01xxxxxxxx(বা K8xxxxxxxx) নামে কোনও সন্দেহজনক ফাইল খুঁজে পান তবে এটি মুছুন।

6. তারপরে আপনার নেটওয়ার্ক ছাড়াই পুনরায় বুট করা উচিত।

তারপরে ট্রোজানটি পরিষ্কার করা উচিত এবং আপনি ফোল্ডারের অধিকারগুলি মূল মানগুলিতে ( chattr -i /lib /etc/crontab) পরিবর্তন করতে পারেন ।

এটি XORDDos লিনাক্স ট্রোজান হিসাবে পরিচিত এটি প্রক্রিয়াটি বিরতি দেওয়ার জন্য চালানো killহয় -STOPযাতে এটি কোনও নতুন তৈরি করে না।

`kill -STOP PROCESS_ID`

আমি আপনাকে এক ডলার বাজি ধরব এটি https://blog.avast.com/2015/01/06/linux-ddos-trojan-hide-itself-with-an-ebded-rootkit/ । আপনার সমস্ত লক্ষণ বর্ণিত হিসাবে ঠিক আছে।

আমার জন্য দুটি বিকল্প ছিল:

1. / ইউএসআর / বিনে ফাইলগুলির সাথে গোলমাল করছে এমন ট্রোজানটির জন্য আমি কেবল এটি করেছি: প্রতিধ্বনি> / লাইব / লাইবুদেভ.সই ট্রোজান পিআইডি হত্যা করুন

2. / বিনের সাথে জড়িত একের জন্য (এখানে সর্বদা ভগ্নাংশ চ্যাটার + আই / বিনের জন্য সর্বদা 5-10 প্রক্রিয়া চলত এবং রেনাইসিয়া দ্বারা উল্লিখিত পদক্ষেপগুলি অনুসরণ করে

আমরাও একই সমস্যার মুখোমুখি, আমাদের সার্ভারগুলিও হ্যাক হয়েছে এবং আমি দেখতে পেয়েছি যে তারা এসএসএস লগইন করতে বাধ্য করেছে এবং আমাদের সিস্টেমে সাফল্য এবং ইনজেকশন ট্রোজান পেয়েছে।

নীচে বিশদগুলি:

কম / var / লগ / নিরাপদ | গ্রেপ 'ব্যর্থ পাসওয়ার্ড' | গ্রেপ '222.186.15.26' | wc -l 37772 শুরু হয়েছে

নীচের সময়টিতে অ্যাক্সেস পেয়েছে: 222.186.15.26 বন্দর 65418 ssh2 থেকে রুটের জন্য গৃহীত পাসওয়ার্ড

এবং আইপি লোকেশন ফাইন্ডার অনুসারে এই আইপি চীন এর কোথাও অন্তর্গত।

সংশোধনমূলক পদক্ষেপ: দয়া করে প্রদত্ত পদক্ষেপগুলি অনুসরণ করুন: @ অরেণসিয়া

প্রতিরোধমূলক পদক্ষেপ :

1. আমার মতে কেউ যখন আপনার সার্ভারটি ssh করতে বা অ্যাক্সেস করতে চেষ্টা করে এবং বহুবার ব্যর্থ হয় তখন কিছু নোটিফিকেশন ম্যানেজমেট উপস্থিত থাকতে হবে।
2. আপনি যদি আওস, জিসিপি, অ্যাজুরি ইত্যাদির মতো কোনও মেঘ প্ল্যাটফর্ম ব্যবহার করে থাকেন তবে নেটওয়ার্ক রেট নিয়ন্ত্রণকারীরা থাকতে হবে ...

আমি এই মুরগির ভাইরাস পেয়েছিলাম, যখন আমি আমার বাড়ির মেশিন থেকে দূরবর্তী অ্যাক্সেসের সাথে সংযোগ স্থাপনের জন্য ডিফল্ট বন্দরগুলি ইনর্ডার উন্মুক্ত করেছিলাম। আমার ক্ষেত্রে এই সাইটটি আমাকে সাহায্য করেছিল

ধাপ

1) প্রতি ঘন্টা ক্রোন অধীনে ফাইল তালিকা। যদি আপনি কোনও .sh ফাইল দেখতে পান তবে দয়া করে এটি খুলুন।

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) নীচের চিত্র অনুসারে .sh ফাইলটি যদি একই রকম ডেটা দেখায় তবে এটি একটি ভাইরাস প্রোগ্রাম !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) এখন, দয়া করে তাড়াতাড়ি করবেন না! শান্ত এবং সহজ থাকুন: ডি

Gcc.sh মুছবেন না বা ক্রন্টব মুছে ফেলবেন না। আপনি যদি এটি মুছতে বা সরিয়ে ফেলেন তবে তাৎক্ষণিকভাবে অন্য একটি প্রক্রিয়া উত্পন্ন হবে। আপনি হয় অপরাধীর স্ক্রিপ্ট অপসারণ করতে পারেন বা এটি অক্ষম করতে পারেন। [গ্রাহকের কাছে প্রমাণটি দেখানোর জন্য আমি এটি অক্ষম করতে পছন্দ করি]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

অথবা

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

৪) ভাইরাস বা দূষিত ফাইল দেখার জন্য শীর্ষ কমান্ডটি ব্যবহার করুন (উদা: "mtyxkeaofa") পিআইডি 16621, সরাসরি প্রোগ্রামটিকে হত্যা করবেন না, তা না হলে এটি আবার তৈরি করবে, তবে নীচের কমান্ডটি ব্যবহার করে এটির ক্রিয়াকলাপ বন্ধ করবে।

root@vps- # kill -STOP 16621

/Etc/init.d এর মধ্যে ফাইলগুলি মুছুন। বা এটি অক্ষম করুন [গ্রাহকের কাছে প্রমাণ দেখাতে আমি এটি অক্ষম করতে পছন্দ করি]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

অথবা

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

)) সংরক্ষণাগারটির ভিতরে / usr / বিন মুছুন।

root@vps-# rm -f /usr/bin/mtyxkeaofa;

)) চেক / ইউএসআর / বিন সংরক্ষণাগার সাম্প্রতিক পরিবর্তনগুলি, অন্য সন্দেহভাজন একই ডিরেক্টরি থাকলে ভাইরাসটিও মুছে ফেলা যায়।

root@vps-# ls -lt /usr/bin | head

8) এখন দূষিত প্রোগ্রাম হত্যা, এটি উত্পাদন করবে না।

root@vps-# pkill mtyxkeaofa

9) ভাইরাস শরীর মুছে ফেলুন।

root@vps-# rm -f /lib/libudev.so

এই ট্রোজান চাইনিজ চিকেন মাল্টিপ্লাটফর্ম ডস বোটনেটস ট্রোজান, ইউনিক্স - ট্রোজান.ডিডোএস_এক্সর -১, এমবেডড রুটকিট,

দ্রষ্টব্য: আপনি .sh ফাইলটি সন্ধান করতে না পারলে সন্দেহজনক / দূষিত খোঁজার জন্য আপনি দয়া করে ক্ল্যামাভি, আরকেহান্টার ইনস্টল করতে পারেন এবং লগ / প্রতিবেদনটি পরীক্ষা করতে পারেন

আসল সাইটে লিঙ্ক

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/