نمایش نتایج: از شماره 1 تا 3 , از مجموع 3

موضوع: بدافزار kdevtmpfsi در اوبونتو

  1. #1
    عضو جدید
    تاریخ عضویت
    Dec 2023
    نوشته ها
    2
    تشکر تشکر کرده 
    0
    تشکر تشکر شده 
    0
    تشکر شده در
    0 پست

    پیش فرض بدافزار kdevtmpfsi در اوبونتو

    سلام یک سرور اوبونتو داریم که دچار بدافزار kdevtmpfsi شده که مربوط به استخراج بیتکوین هست, تقریبا تمام روش های موجود تو اینترنت و بررسی کردیم و هنوز مشکل حل نشده آیا راه حلی دارید برای خلاص شدن از دست این بدافزار؟
    کرون جاب مربوط بهش و پاک کردیم, پوشه ویروس هم با هربار پاک شدن مجددا ساخته میشه, سطح دسترسی پوشه رو هم تغییر دادیم, فعلا تنها کاری که بصورت موقت انجام شده ست کردن یه جرون جاب برای از بین بردن پروسس این بدافزار هر چندثانیه یک بار هست که باز هم پوشه با اسم و پسوند دیگه میسازه
    کرون جاب مربوط هم هربار پاک میشه باز ساخته میشه
    asf.PNG


    virus.PNG
    ویرایش توسط hesam.cc : December 6th, 2023 در ساعت 02:08

  2. # ADS




     

  3. #2
    عضو انجمن demonvictor آواتار ها
    تاریخ عضویت
    May 2014
    نوشته ها
    820
    تشکر تشکر کرده 
    1,072
    تشکر تشکر شده 
    456
    تشکر شده در
    343 پست

    پیش فرض پاسخ : بدافزار kdevtmpfsi در اوبونتو

    نقل قول نوشته اصلی توسط hesam.cc نمایش پست ها
    سلام یک سرور اوبونتو داریم که دچار بدافزار kdevtmpfsi شده که مربوط به استخراج بیتکوین هست, تقریبا تمام روش های موجود تو اینترنت و بررسی کردیم و هنوز مشکل حل نشده آیا راه حلی دارید برای خلاص شدن از دست این بدافزار؟
    کرون جاب مربوط بهش و پاک کردیم, پوشه ویروس هم با هربار پاک شدن مجددا ساخته میشه, سطح دسترسی پوشه رو هم تغییر دادیم, فعلا تنها کاری که بصورت موقت انجام شده ست کردن یه جرون جاب برای از بین بردن پروسس این بدافزار هر چندثانیه یک بار هست که باز هم پوشه با اسم و پسوند دیگه میسازه
    کرون جاب مربوط هم هربار پاک میشه باز ساخته میشه
    asf.PNG


    virus.PNG
    اوه شِت. این ویروسو یادمه یکی از سرورهای ماهم گرفته بود. خیلی هوشمند و قوی برنامه‌نویسی شده. واقعا برنامه نویس خوبی بوده. دمش گرم.

    یادمه ما این ویروس رواز طریق ایمیج اصلی ردیس گرفته بودیم. اما معمولا یکسری بسته های کاملا رسمی و نسخه اصلی پی‌اچ‌پی هم این وروس رو دارن و تقریبا راهکار های استک آور فلو هم جواب نبود حتی پراسس هایی هم که میسازه با اسم های رندوم میسازه و تمام اون راهکار ها روی اون نسخه های قدیمیش، کار میکنه.

    من دقیقا یادم نیست ولی تقریبا میدونم، که این ویروس رو دیدیم از طریق یک پورت‌بخصوصی، واردسرور میشه و ما اون پورت رو کلا مسدودش کردیم.

    منتهی ما چون پروژه هامون رو روی سرور، روی کانتینر به مشتری ارایه‌میدیم، مجددا سرویسش رو بیلد گرفتیم که اثری از ویروس داخلش نباشه و بعدش پورت موردنظر رو هم کلا بستیمش از روی نتورک کانتینرش. برای همین دیگه از شرش راحت شدیم.

    اما شما که روی سرور اصلی تونه، بنظرم شماهم باید سرورتون رو از ابتدا بیلد بگیرید و جلوی سرویسی که نصب کردید و پورت ورود این ویروس هست رو ببندید که دیگه مشکل تون حل بشه.
    ویرایش توسط demonvictor : December 6th, 2023 در ساعت 07:13
    قدس مال ماست (من قولشو بت میدم)


  4. #3
    عضو جدید
    تاریخ عضویت
    Dec 2023
    نوشته ها
    2
    تشکر تشکر کرده 
    0
    تشکر تشکر شده 
    0
    تشکر شده در
    0 پست

    پیش فرض پاسخ : بدافزار kdevtmpfsi در اوبونتو

    نقل قول نوشته اصلی توسط demonvictor نمایش پست ها
    اوه شِت. این ویروسو یادمه یکی از سرورهای ماهم گرفته بود. خیلی هوشمند و قوی برنامه‌نویسی شده. واقعا برنامه نویس خوبی بوده. دمش گرم.

    یادمه ما این ویروس رواز طریق ایمیج اصلی ردیس گرفته بودیم. اما معمولا یکسری بسته های کاملا رسمی و نسخه اصلی پی‌اچ‌پی هم این وروس رو دارن و تقریبا راهکار های استک آور فلو هم جواب نبود حتی پراسس هایی هم که میسازه با اسم های رندوم میسازه و تمام اون راهکار ها روی اون نسخه های قدیمیش، کار میکنه.

    من دقیقا یادم نیست ولی تقریبا میدونم، که این ویروس رو دیدیم از طریق یک پورت‌بخصوصی، واردسرور میشه و ما اون پورت رو کلا مسدودش کردیم.

    منتهی ما چون پروژه هامون رو روی سرور، روی کانتینر به مشتری ارایه‌میدیم، مجددا سرویسش رو بیلد گرفتیم که اثری از ویروس داخلش نباشه و بعدش پورت موردنظر رو هم کلا بستیمش از روی نتورک کانتینرش. برای همین دیگه از شرش راحت شدیم.

    اما شما که روی سرور اصلی تونه، بنظرم شماهم باید سرورتون رو از ابتدا بیلد بگیرید و جلوی سرویسی که نصب کردید و پورت ورود این ویروس هست رو ببندید که دیگه مشکل تون حل بشه.

    این سرور اصلی نیست میتونیم سرور و ریست کنیم ولی دنبال اینم چطوری از بین بره کلا برای روزی که اگه دوباره دچار این ویروس شدیم
    یه سرور داریم که فقط postgres روش نصب شده و چون چند نفر بهش متصل میشن دسترسی ip های مختلف روی postgres الان فعال هست که واسه نسخه نهایی این مورد و نداریم
    پورت هم الان فقط سه تا پورت باز گذاشتم
    تنها کارایی که دیشب به ذهنم رسید کلاس کرونجاب و برای یوزر postgres غیرفعال کردم و با ران کردن یه اسکریپت اجازه ساختن فایلی با پسوندهای مختلف kdevtmpfsi و kinsing و نده ولی خب باز اینا فکر میکنم پاک کردن صورت مسئله هست

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. کمک تو نصب ..peerguardian) - ya - iplist ). تو centos
    توسط alisamadi21 در انجمن سوالات و مشکلات
    پاسخ ها: 3
    آخرين نوشته: September 10th, 2013, 23:58
  2. فروشتون تو تابستون بخصوص تو 10 روز اخیر کمتر شده ؟
    توسط persiantools در انجمن مباحث دیگر
    پاسخ ها: 19
    آخرين نوشته: July 24th, 2012, 02:46
  3. پاسخ ها: 27
    آخرين نوشته: December 20th, 2011, 00:13
  4. پاسخ ها: 0
    آخرين نوشته: June 9th, 2010, 13:43
  5. پاسخ ها: 1
    آخرين نوشته: May 17th, 2010, 13:47

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •