আমি কীভাবে AWS ইসি 2 উদাহরণে মিনিয়ার্ড ম্যালওয়ারকে হত্যা করতে পারি? (আপোস করা সার্ভার)

আমি আমার ইসি 2 উদাহরণে ম্যালওয়্যার পেয়েছি যা ক্রমাগত বিটকয়েন খনন করে এবং আমার ইনস্ট্যান্সিং প্রক্রিয়াকরণ শক্তি ব্যবহার করে। আমি প্রক্রিয়াটি সাফল্যের সাথে চিহ্নিত করেছি, তবে এটি সরিয়ে ফেলতে এবং অক্ষম করতে পারিনি।

আমি এই কমান্ডটি চালিয়েছিwatch "ps aux | sort -nrk 3,3 | head -n 5" এটি আমার উদাহরণে চলমান শীর্ষ পাঁচটি প্রক্রিয়া দেখায়, যেখান থেকে আমি খুঁজে পেয়েছি যে একটি প্রক্রিয়া নাম রয়েছে ' বাশদ ' যা 30% সিপিইউ গ্রহণ করছিল। প্রক্রিয়াটি হ'ল

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

kill -9 process_idকমান্ডটি ব্যবহার করে আমি এই প্রক্রিয়াটিকে হত্যা করেছি । 5 সেকেন্ড পরে, প্রক্রিয়া আবার শুরু।

— নাদিম আহমেদ
সূত্র

আপনি পর্যাপ্ত বিবরণ দেবেন না (কমপক্ষে কয়েকটি কমান্ড যা আপনি চেষ্টা করেছেন)

— বেসিল স্টারিনকিভিচ

"সার্ভারগুলি গবাদি পশু, পোষা প্রাণী নয়" " বিশেষত ভার্চুয়াল সার্ভারগুলি যা তৈরি এবং ধ্বংস করা সত্যই সহজ । এটিকে ফেলে দিন (একে শেষ করুন) এবং অন্যটি তৈরি করুন। অথবা অন্যটি তৈরি করুন, স্যুইচ করুন, এবং ম্যালওয়্যারটি সেখানে কীভাবে এসেছিল তা নির্ধারণের সময় পুরনোটিকে রাখুন।

— ব্যবহারকারী 253751

আপনার উদাহরণটি আপোস করা হয়েছে, এটি কক্ষপথ থেকে

— অনুগ্রহ করুন

(এটি পড়ার জন্য কারও মনে রাখবেন - "সার্ভারগুলি গবাদি পশু, পোষা প্রাণী নয়" কেবল ক্লাউড সার্ভার বা প্রচুর সংখ্যক অভিন্ন সার্ভারের ক্ষেত্রে প্রযোজ্য )

— ব্যবহারকারী 253751

এটি মনিরো খনন করছে, বিটকয়েন নয় (যদি তা বিবেচনা করে)

— দিমিত্রি কুদ্রিয়াভসেভ

উত্তর:

আপনি যদি সফ্টওয়্যারটি সেখানে না রাখেন এবং / অথবা আপনি যদি মনে করেন যে আপনার ক্লাউড উদাহরণটি আপস করা হয়েছে: এটি অফ-লাইন নিন, মুছুন, এবং এটি স্ক্র্যাচ থেকে পুনর্নির্মাণ করুন (তবে নীচের লিঙ্কটি প্রথমে পড়ুন)। এটি আর আপনার নয়, আপনি আর এটি বিশ্বাস করতে পারবেন না ।

মেশিনকে আপোস করার সময় কী করবেন এবং কীভাবে আচরণ করবেন সে সম্পর্কে আরও তথ্যের জন্য সার্ভারফল্টে "কীভাবে আপস করা সার্ভারের সাথে ডিল করবেন" দেখুন ।

উপরে লিঙ্কিত তালিকাগুলিতে করণীয় এবং ভাবার বিষয়গুলির পাশাপাশি, সচেতন হন যে আপনি কে এবং আপনি কোথায় আছেন তার উপর নির্ভর করে আপনার স্থানীয় / কেন্দ্রীয় আইটি সুরক্ষার কাছে এটির প্রতিবেদন করার আইনী বাধ্যবাধকতা থাকতে পারে আপনার সংস্থার মধ্যে দল / ব্যক্তি এবং / অথবা কর্তৃপক্ষের কাছে (সম্ভবত নির্দিষ্ট সময়সীমার মধ্যেও)।

সুইডেনে (ডিসেম্বর ২০১৫ থেকে) উদাহরণস্বরূপ, কোনও রাষ্ট্রীয় সংস্থা (যেমন বিশ্ববিদ্যালয়গুলি) ২৪ ঘন্টার মধ্যে আইটি-সম্পর্কিত ঘটনার প্রতিবেদন করতে বাধ্য। কীভাবে এটি করা যায় সে সম্পর্কে আপনার সংস্থার নথিভুক্ত পদ্ধতি থাকবে।

— কুসালানন্দ
সূত্র

আমেন। আমি মনে করি এটি ভাল বা সঠিকভাবে জানানো যায় না "এটি আপনার আর নেই"

— রুই এফ রিবেইরো

এবং এটি কীভাবে সেখানে প্রথম স্থানে পৌঁছেছে তা আপনাকে খুঁজে বের করতে হবে।

— Kagronick

এই কমান্ডের bashdহিসাবে একই ccminerথেকে ccminer-cryptonightআপনার সিস্টেমে খনি Monero করার কর্মসূচি! (সেখানে tuto হল: Monero - লিনাক্স Ccminer-cryptonight জিপিইউ খনিজীবী ), bashdaliasing দ্বারা বা প্রোগ্রামের সোর্স কোড পরিবর্তন করে প্রাপ্ত হয়।

ক্রিপ্টনাইট ম্যালওয়ার: কীভাবে প্রক্রিয়াটি মেরে ফেলা যায়? (ম্যালওয়ার বিশেষজ্ঞ ওয়েবপৃষ্ঠায় তথ্য পাওয়া গেছে)

এটি আবার নতুন ম্যালওয়্যার যা আমরা ক্রিপ্টোনাইট বলি, যা আমরা আগে দেখিনি। এটি এক্সিকিউটেবল লিনাক্স প্রোগ্রাম ডাউনলোড করে এবং এইচটিএমএইচ ডিমনকে পটভূমিতে লুকিয়ে রাখে, যা প্রথম নজরে প্রক্রিয়া তালিকা খুঁজে পাওয়া শক্ত।

ম্যানুয়াল অপসারণ প্রক্রিয়া

প্রক্রিয়া httpd চলছে কিনা তা আপনি অনুসন্ধান করতে পারেন, যা ক্রিপ্টনাইট প্যারামিটার শুরু করে:

ps aux | grep cryptonight

তারপরে কেবল kill -9 process_idরুট অনুমতি নিয়ে ((আপনার উচিত cryptonightনয় প্রক্রিয়াটি মেরে ফেলা উচিত bashd)

নিরাপদ থাকার জন্য আপনার উচিত:

আপনার সিস্টেমটি পুনরায় ইনস্টল করুন
দূরবর্তী আক্রমণ দুর্বলতা রোধ করতে আপনার সিস্টেমে প্যাচ করুন: লিনাক্স সার্ভারগুলি সাম্বাক্রি দুর্বলতার মাধ্যমে মাইন ক্রিপ্টোকারেন্সি হাইজ্যাক করেছে
ব্যবহারকারীদের সীমিত কমান্ড চালাতে সীমাবদ্ধ করুন

— GAD3R
সূত্র