-
December 6th, 2023, 02:06
#1
بدافزار kdevtmpfsi در اوبونتو
سلام یک سرور اوبونتو داریم که دچار بدافزار kdevtmpfsi شده که مربوط به استخراج بیتکوین هست, تقریبا تمام روش های موجود تو اینترنت و بررسی کردیم و هنوز مشکل حل نشده آیا راه حلی دارید برای خلاص شدن از دست این بدافزار؟
کرون جاب مربوط بهش و پاک کردیم, پوشه ویروس هم با هربار پاک شدن مجددا ساخته میشه, سطح دسترسی پوشه رو هم تغییر دادیم, فعلا تنها کاری که بصورت موقت انجام شده ست کردن یه جرون جاب برای از بین بردن پروسس این بدافزار هر چندثانیه یک بار هست که باز هم پوشه با اسم و پسوند دیگه میسازه
کرون جاب مربوط هم هربار پاک میشه باز ساخته میشه
asf.PNG
virus.PNG
ویرایش توسط hesam.cc : December 6th, 2023 در ساعت 02:08
-
-
December 6th, 2023 02:06
# ADS
-
December 6th, 2023, 07:12
#2
عضو انجمن
پاسخ : بدافزار kdevtmpfsi در اوبونتو
نوشته اصلی توسط
hesam.cc
سلام یک سرور اوبونتو داریم که دچار بدافزار kdevtmpfsi شده که مربوط به استخراج بیتکوین هست, تقریبا تمام روش های موجود تو اینترنت و بررسی کردیم و هنوز مشکل حل نشده آیا راه حلی دارید برای خلاص شدن از دست این بدافزار؟
کرون جاب مربوط بهش و پاک کردیم, پوشه ویروس هم با هربار پاک شدن مجددا ساخته میشه, سطح دسترسی پوشه رو هم تغییر دادیم, فعلا تنها کاری که بصورت موقت انجام شده ست کردن یه جرون جاب برای از بین بردن پروسس این بدافزار هر چندثانیه یک بار هست که باز هم پوشه با اسم و پسوند دیگه میسازه
کرون جاب مربوط هم هربار پاک میشه باز ساخته میشه
asf.PNG
virus.PNG
اوه شِت. این ویروسو یادمه یکی از سرورهای ماهم گرفته بود. خیلی هوشمند و قوی برنامهنویسی شده. واقعا برنامه نویس خوبی بوده. دمش گرم.
یادمه ما این ویروس رواز طریق ایمیج اصلی ردیس گرفته بودیم. اما معمولا یکسری بسته های کاملا رسمی و نسخه اصلی پیاچپی هم این وروس رو دارن و تقریبا راهکار های استک آور فلو هم جواب نبود حتی پراسس هایی هم که میسازه با اسم های رندوم میسازه و تمام اون راهکار ها روی اون نسخه های قدیمیش، کار میکنه.
من دقیقا یادم نیست ولی تقریبا میدونم، که این ویروس رو دیدیم از طریق یک پورتبخصوصی، واردسرور میشه و ما اون پورت رو کلا مسدودش کردیم.
منتهی ما چون پروژه هامون رو روی سرور، روی کانتینر به مشتری ارایهمیدیم، مجددا سرویسش رو بیلد گرفتیم که اثری از ویروس داخلش نباشه و بعدش پورت موردنظر رو هم کلا بستیمش از روی نتورک کانتینرش. برای همین دیگه از شرش راحت شدیم.
اما شما که روی سرور اصلی تونه، بنظرم شماهم باید سرورتون رو از ابتدا بیلد بگیرید و جلوی سرویسی که نصب کردید و پورت ورود این ویروس هست رو ببندید که دیگه مشکل تون حل بشه.
ویرایش توسط demonvictor : December 6th, 2023 در ساعت 07:13
قدس مال ماست (من قولشو بت میدم)
-
-
December 6th, 2023, 12:57
#3
پاسخ : بدافزار kdevtmpfsi در اوبونتو
نوشته اصلی توسط
demonvictor
اوه شِت. این ویروسو یادمه یکی از سرورهای ماهم گرفته بود. خیلی هوشمند و قوی برنامهنویسی شده. واقعا برنامه نویس خوبی بوده. دمش گرم.
یادمه ما این ویروس رواز طریق ایمیج اصلی ردیس گرفته بودیم. اما معمولا یکسری بسته های کاملا رسمی و نسخه اصلی پیاچپی هم این وروس رو دارن و تقریبا راهکار های استک آور فلو هم جواب نبود حتی پراسس هایی هم که میسازه با اسم های رندوم میسازه و تمام اون راهکار ها روی اون نسخه های قدیمیش، کار میکنه.
من دقیقا یادم نیست ولی تقریبا میدونم، که این ویروس رو دیدیم از طریق یک پورتبخصوصی، واردسرور میشه و ما اون پورت رو کلا مسدودش کردیم.
منتهی ما چون پروژه هامون رو روی سرور، روی کانتینر به مشتری ارایهمیدیم، مجددا سرویسش رو بیلد گرفتیم که اثری از ویروس داخلش نباشه و بعدش پورت موردنظر رو هم کلا بستیمش از روی نتورک کانتینرش. برای همین دیگه از شرش راحت شدیم.
اما شما که روی سرور اصلی تونه، بنظرم شماهم باید سرورتون رو از ابتدا بیلد بگیرید و جلوی سرویسی که نصب کردید و پورت ورود این ویروس هست رو ببندید که دیگه مشکل تون حل بشه.
این سرور اصلی نیست میتونیم سرور و ریست کنیم ولی دنبال اینم چطوری از بین بره کلا برای روزی که اگه دوباره دچار این ویروس شدیم
یه سرور داریم که فقط postgres روش نصب شده و چون چند نفر بهش متصل میشن دسترسی ip های مختلف روی postgres الان فعال هست که واسه نسخه نهایی این مورد و نداریم
پورت هم الان فقط سه تا پورت باز گذاشتم
تنها کارایی که دیشب به ذهنم رسید کلاس کرونجاب و برای یوزر postgres غیرفعال کردم و با ران کردن یه اسکریپت اجازه ساختن فایلی با پسوندهای مختلف kdevtmpfsi و kinsing و نده ولی خب باز اینا فکر میکنم پاک کردن صورت مسئله هست
-