র্যান্ডম কমান্ড সহ অজানা লিনাক্স প্রক্রিয়া


12

আমি যখন চালাই তখন আমার একটি অজানা প্রক্রিয়া থাকে top:

এখানে চিত্র বর্ণনা লিখুন

  • আমি যখন প্রক্রিয়াটি হত্যা করি তখন এটি আবার অন্য এলোমেলো নাম নিয়ে আসে।
  • যখন আমি আরসি.ডি স্তরগুলি পরীক্ষা করি এবং ডি.ডি.ডি. এর মতো অনেকগুলি এলোমেলো নাম রয়েছে এবং এটি এখানেও রয়েছে।
  • যখন আমি এপস-রিমুভ করার বা এলিসকে এন্টিং করার চেষ্টা করি এটি আবার আসবে।
  • যখন আমি নেটওয়ার্ক কেবলটি প্লাগ করি তখন এটি আমাদের পুরো নেটওয়ার্কটিকে লক করে রাখে।

আমি কীভাবে এটি সরিয়ে ফেলতে পারি তার কোনও ধারণা আছে?

এই পরিষেবা / প্রক্রিয়া কি?

এটি এক্সিপ ফাইল, যখন আমি এটি মুছব, এটি আবারও আসবে।

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

আমি যখন "নেটস্ট্যাট -নাটপ" চেক করি সেখানে একটি প্রতিষ্ঠানের বিদেশী ঠিকানা 98.126.251.114:2828 হয়। আমি যখন iptables এ নিয়ম যুক্ত করার চেষ্টা করি তখন এটি কার্যকর হয় না। চেষ্টা করার পরে এবং তারপরে পুনরায় চালু করুন এই ঠিকানাটি 66.102.253.30:2828 এ পরিবর্তিত করুন।

ওএস হ'ল ডেবিয়ান হুইজ


5
সম্ভবত কিছু বোটনেট ক্লায়েন্ট (আপনার মেশিনটি আপোষযুক্ত)। এটি কীভাবে শুরু হয়েছিল তা আপনাকে খুঁজে বের করতে হবে। উপযোগিতা পছন্দ cruftউপকারে আসতে পারে কি ফাইল প্যাকেজ অন্তর্গত না দেখতে।
ড্যান

2
ps lঅভিভাবক প্রক্রিয়া কী তা আপনাকে দেখায়। সম্ভবত, এটি আপনাকে জানাবে যে এই প্রক্রিয়াটি কীভাবে তৈরি হচ্ছে। আপনি চান তথ্যের জন্য পিপিআইডি কলামটি দেখুন। আমি এই ম্যালওয়ারটি ঘোষণা করতে এত তাড়াতাড়ি করব না।
ক্রো

পিতামাতার প্রক্রিয়াটি পরীক্ষা করতে +1। যদি ফাইল /use/bin/hgmjzjkpxaবিদ্যমান (এটা / usr হতে পারে?) এটি একটি লিঙ্ক, বা অন্য কিছু আকর্ষণীয় তালিকাভুক্ত হয় ls -la, অথবা চোখে দেখা lessবা strings?
Xen2050

কোনও অভিভাবক প্রক্রিয়া নেই, হুয়ামি প্রক্রিয়াটির মতো দেখতে এটির একটি বিষয় আছে যখন আমি "নেটস্ট্যাট-ন্যাটপ" চেক করি সেখানে একটি প্রতিষ্ঠানের বিদেশী ঠিকানা 98.126.251.114:2828 হয়। আমি যখন iptables এ নিয়ম যুক্ত করার চেষ্টা করি তখন এটি কার্যকর হয় না। চেষ্টা করার পরে এবং তারপরে পুনরায় চালু করুন এই ঠিকানাটি 66.102.253.30:2828 এ পরিবর্তিত করুন। এই সম্পর্কে আপনার কোন ধারণা আছে?
ব্যবহারকারী 1424059

উত্তর:


15

আমার এই এলোমেলো 10 বিট স্ট্রিং ট্রোজান সম্পর্কে কিছু অভিজ্ঞতা আছে, এটি এসওয়াইএন বন্যার জন্য প্রচুর প্যাকেট প্রেরণ করবে।

  1. আপনার নেটওয়ার্ক কেটে দিন

ট্রোজানের কাঁচা ফাইল এসেছে /lib/libudev.so, এটি অনুলিপি করে আবার কাঁটাচামচ করবে। এটি cron.hourlyনামযুক্ত কাজও যুক্ত করবে gcc.sh, তারপরে এটি আপনার প্রাথমিক স্ক্রিপ্ট যুক্ত করবে /etc/rc*.d(দেবিয়ান, সেন্টোস হতে পারে /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. rootফোল্ডারের সুবিধাগুলি পরিবর্তন করতে নীচের স্ক্রিপ্টটি চালাতে ব্যবহার করুন :chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. /etc/rc{0,1,2,3,4,5,6,S}.dআজ তৈরি করা সমস্ত ফাইল মুছুন , নামটির মতো দেখতে S01????????

  3. আপনার ক্রোনট্যাব সম্পাদনা করুন, এতে gcc.shস্ক্রিপ্টটি /etc/cron.hourlyমুছুন, gcc.shফাইলটি মুছুন ( /etc/cron.hourly/gcc.sh) তারপরে আপনার ক্রন্টাবের জন্য সুবিধা যুক্ত করুন:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. সর্বশেষতম ফাইল পরিবর্তনগুলি পরীক্ষা করতে এই কমান্ডটি ব্যবহার করুন: ls -lrt

যদি আপনি S01xxxxxxxx(বা K8xxxxxxxx) নামে কোনও সন্দেহজনক ফাইল খুঁজে পান তবে এটি মুছুন।

  1. তারপরে আপনার নেটওয়ার্ক ছাড়াই পুনরায় বুট করা উচিত।

তারপরে ট্রোজানটি পরিষ্কার করা উচিত এবং আপনি ফোল্ডারের অধিকারগুলি মূল মানগুলিতে ( chattr -i /lib /etc/crontab) পরিবর্তন করতে পারেন ।


এই উত্তরের নির্দেশাবলী আমাকে বাঁচিয়েছে। বয়স সত্ত্বেও, এই ট্রোজান এখনও বন্যের মধ্যে আছে বলে মনে হচ্ছে। তবে, চতুর্থ ধাপে একটি ত্রুটি রয়েছে, কারণ সেড কমান্ড আসলে ফাইলটি পরিবর্তন করে না। এটা শুধু রুপান্তরিত করা হয়েছে, যদিও: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab। এছাড়াও, @ কলিন রোসান্থালের উত্তরের লিঙ্ক অনুসারে, সংক্রমণের মূলটি রুট-জোর করে এসএস পাসওয়ার্ডের মাধ্যমে হয়। সুতরাং, পুনরায় সংক্রমণ রোধ করতে, নেটওয়ার্ক পুনরায় চালু করার আগে রুট পাসওয়ার্ড পরিবর্তন বা অক্ষম করুন।
ফ্রেডেরিক

chattr -i /libchattr: Operation not supported while reading flags on /libকোন সূত্র ফেরত দেয় ? আমার / লিবি ইউএসআর / লিবিবকে নির্দেশ করেছে
গাধা

আমি সুডো অ্যাপ্লিকেশন ইনস্টল করেও নেটওয়ার্ক পুনরুদ্ধার করতে সক্ষম নই
গাধা

chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / চলার সময় অনুমতি অস্বীকার করা হয়েছিল, এমনকি সু ও
সুডোর সাথে চালানো হয়েছিল

15

এটি XORDDos লিনাক্স ট্রোজান হিসাবে পরিচিত এটি প্রক্রিয়াটি বিরতি দেওয়ার জন্য চালানো killহয় -STOPযাতে এটি কোনও নতুন তৈরি করে না।

`kill -STOP PROCESS_ID`

গ্রেট। এটি ঠিক আমি যা চেয়েছিলাম। পুনরায় বুট না করে আপনি যদি সত্যিই স্মৃতিতে থাকে তবে এই ভাইরাস থেকে মুক্তি পেতে পারবেন না। এমনকি কোনও ফোল্ডারটি বন্ধ করার পরেও আপনাকে চিএমড করার দরকার নেই - কেবল ফাইল এবং লিঙ্কগুলি সরিয়ে ফেলুন এবং এগুলি সবই।
ওলেগ বোল্ডেন


0

আমার জন্য দুটি বিকল্প ছিল:

  1. / ইউএসআর / বিনে ফাইলগুলির সাথে গোলমাল করছে এমন ট্রোজানটির জন্য আমি কেবল এটি করেছি: প্রতিধ্বনি> / লাইব / লাইবুদেভ.সই ট্রোজান পিআইডি হত্যা করুন

  2. / বিনের সাথে জড়িত একের জন্য (এখানে সর্বদা ভগ্নাংশ চ্যাটার + আই / বিনের জন্য সর্বদা 5-10 প্রক্রিয়া চলত এবং রেনাইসিয়া দ্বারা উল্লিখিত পদক্ষেপগুলি অনুসরণ করে


0

আমরাও একই সমস্যার মুখোমুখি, আমাদের সার্ভারগুলিও হ্যাক হয়েছে এবং আমি দেখতে পেয়েছি যে তারা এসএসএস লগইন করতে বাধ্য করেছে এবং আমাদের সিস্টেমে সাফল্য এবং ইনজেকশন ট্রোজান পেয়েছে।

নীচে বিশদগুলি:

কম / var / লগ / নিরাপদ | গ্রেপ 'ব্যর্থ পাসওয়ার্ড' | গ্রেপ '222.186.15.26' | wc -l 37772 শুরু হয়েছে

নীচের সময়টিতে অ্যাক্সেস পেয়েছে: 222.186.15.26 বন্দর 65418 ssh2 থেকে রুটের জন্য গৃহীত পাসওয়ার্ড

এবং আইপি লোকেশন ফাইন্ডার অনুসারে এই আইপি চীন এর কোথাও অন্তর্গত।

সংশোধনমূলক পদক্ষেপ: দয়া করে প্রদত্ত পদক্ষেপগুলি অনুসরণ করুন: @ অরেণসিয়া

প্রতিরোধমূলক পদক্ষেপ :

  1. আমার মতে কেউ যখন আপনার সার্ভারটি ssh করতে বা অ্যাক্সেস করতে চেষ্টা করে এবং বহুবার ব্যর্থ হয় তখন কিছু নোটিফিকেশন ম্যানেজমেট উপস্থিত থাকতে হবে।
  2. আপনি যদি আওস, জিসিপি, অ্যাজুরি ইত্যাদির মতো কোনও মেঘ প্ল্যাটফর্ম ব্যবহার করে থাকেন তবে নেটওয়ার্ক রেট নিয়ন্ত্রণকারীরা থাকতে হবে ...

1
তবে প্রথমে
এসএসএসের

0

আমি এই মুরগির ভাইরাস পেয়েছিলাম, যখন আমি আমার বাড়ির মেশিন থেকে দূরবর্তী অ্যাক্সেসের সাথে সংযোগ স্থাপনের জন্য ডিফল্ট বন্দরগুলি ইনর্ডার উন্মুক্ত করেছিলাম। আমার ক্ষেত্রে এই সাইটটি আমাকে সাহায্য করেছিল

ধাপ

1) প্রতি ঘন্টা ক্রোন অধীনে ফাইল তালিকা। যদি আপনি কোনও .sh ফাইল দেখতে পান তবে দয়া করে এটি খুলুন।

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) নীচের চিত্র অনুসারে .sh ফাইলটি যদি একই রকম ডেটা দেখায় তবে এটি একটি ভাইরাস প্রোগ্রাম !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) এখন, দয়া করে তাড়াতাড়ি করবেন না! শান্ত এবং সহজ থাকুন: ডি

Gcc.sh মুছবেন না বা ক্রন্টব মুছে ফেলবেন না। আপনি যদি এটি মুছতে বা সরিয়ে ফেলেন তবে তাৎক্ষণিকভাবে অন্য একটি প্রক্রিয়া উত্পন্ন হবে। আপনি হয় অপরাধীর স্ক্রিপ্ট অপসারণ করতে পারেন বা এটি অক্ষম করতে পারেন। [গ্রাহকের কাছে প্রমাণটি দেখানোর জন্য আমি এটি অক্ষম করতে পছন্দ করি]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

অথবা

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

৪) ভাইরাস বা দূষিত ফাইল দেখার জন্য শীর্ষ কমান্ডটি ব্যবহার করুন (উদা: "mtyxkeaofa") পিআইডি 16621, সরাসরি প্রোগ্রামটিকে হত্যা করবেন না, তা না হলে এটি আবার তৈরি করবে, তবে নীচের কমান্ডটি ব্যবহার করে এটির ক্রিয়াকলাপ বন্ধ করবে।


root@vps- # kill -STOP 16621

/Etc/init.d এর মধ্যে ফাইলগুলি মুছুন। বা এটি অক্ষম করুন [গ্রাহকের কাছে প্রমাণ দেখাতে আমি এটি অক্ষম করতে পছন্দ করি]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

অথবা

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

)) সংরক্ষণাগারটির ভিতরে / usr / বিন মুছুন।

root@vps-# rm -f /usr/bin/mtyxkeaofa;

)) চেক / ইউএসআর / বিন সংরক্ষণাগার সাম্প্রতিক পরিবর্তনগুলি, অন্য সন্দেহভাজন একই ডিরেক্টরি থাকলে ভাইরাসটিও মুছে ফেলা যায়।

root@vps-# ls -lt /usr/bin | head

8) এখন দূষিত প্রোগ্রাম হত্যা, এটি উত্পাদন করবে না।

root@vps-# pkill mtyxkeaofa

9) ভাইরাস শরীর মুছে ফেলুন।

root@vps-# rm -f /lib/libudev.so

এই ট্রোজান চাইনিজ চিকেন মাল্টিপ্লাটফর্ম ডস বোটনেটস ট্রোজান, ইউনিক্স - ট্রোজান.ডিডোএস_এক্সর -১, এমবেডড রুটকিট,

দ্রষ্টব্য: আপনি .sh ফাইলটি সন্ধান করতে না পারলে সন্দেহজনক / দূষিত খোঁজার জন্য আপনি দয়া করে ক্ল্যামাভি, আরকেহান্টার ইনস্টল করতে পারেন এবং লগ / প্রতিবেদনটি পরীক্ষা করতে পারেন

আসল সাইটে লিঙ্ক

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/


2
যদিও এই লিঙ্কটি প্রশ্নের উত্তর দিতে পারে, উত্তরের প্রয়োজনীয় অংশগুলি এখানে অন্তর্ভুক্ত করা এবং রেফারেন্সের জন্য লিঙ্কটি সরবরাহ করা ভাল। লিঙ্কযুক্ত পৃষ্ঠাগুলি পরিবর্তিত হলে লিঙ্ক-শুধুমাত্র উত্তরগুলি অবৈধ হতে পারে। - পর্যালোচনা থেকে
CaldeiraG

এখানে এটি আপডেট করবে
যশোবন্ত কম্বালা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.