سلام بر همه اساتید گرامی، سال نو همه مبارک
استاید یه مشکلی دارم
من سرور مجازی دارم ، لینوکس هست ، روش فقط یه سایت هست و یه هاست
چند وقت پیش ویروس کشی کردم 50 تا ویروس پیدا کرده بود ، که حتی داخل سورس سایت هم نفوذ کرده بود
پاکش کردم ، اسکن کردم بازم پیدا شد
باز پاک کردم فرداش اسکن کردم بازم هست
مثلا الان اسکن کنی هست 10 تا
بشه فردا اسکن کنی میشه 30 تا
آنتی ویروس clamav هست
آنتی شلر هم maldet هست
جفتشون آپدیت هستن
کسی میدونه مشکل چیه؟
راه حلی هست ویروسی نشه؟ آنتی ویروس قوی نداریم؟
مثلا ویندوز کسپر نصب کنی اصلا ویروسی نمیشه ، حتی اگر فلش پر ویروس بزنی ولی لینوکس نمیدونم
جلوی ویروس رو نمیگره توش ویروس میره باید من اسکن کنم تا پاکش کنه
راهی هست قبل اینکه ویروس داخل سرور بره خودش جلوش رو بگیره پاکش کنه؟
(به داخل سورس سایت نفوذ کرده بود یکی فایل بوت استرپ زیپ بود و یکی دیگه یه فایل زیپ دیگه)
ممنون میشم راهنماییم کنید ، عکس اسکن و نوع ویروس رو فرستادم
35585

از دوستان و اساتید کسی نیست راهنماییم کنه؟
من هر روز ویروس کشی میکنم
ویروس ها حذف میشه
ولی باز دوباره پیداشون میشه
مثلا الان 10 تا ویروس هست که حذف میشه ، بعدش که اسکن میکنم دیگه نیست
ولی باز مثلا دو روز دیگه پیداشون میشه
فقط هم یه نوع ویروس هست که عکسش رو گذاشتم
راهی هست بشه جلوش رو گرفت؟ آنتی ویروس clamAv نصب هست
انتی شلر maldet هم نصب هست

خواهشا یکی راهنماییم کنه ، که راه حل چیه

کسی میدونه مشکل چیه؟
راه حلی هست ویروسی نشه؟ آنتی ویروس قوی نداریم؟



cxs رو نصب کنید، تفاوت رو حس میکنید !! :53:

cxs رو نصب کنید، تفاوت رو حس میکنید !! :53:
واقعاا؟؟
یعنی انقدر فرق داره؟منم گشتم تو سایت خودش دیدم خیلی دربارش گفته
یعنی راحت میشم از هر گونه ویروس و شلی؟
فقط سرور من ایران هست و دایرکت ادمین ، نصب میشه؟ سایت خودش گفته cpanel/WHM

واقعاا؟؟
یعنی انقدر فرق داره؟منم گشتم تو سایت خودش دیدم خیلی دربارش گفته
یعنی راحت میشم از هر گونه ویروس و شلی؟
فقط سرور من ایران هست و دایرکت ادمین ، نصب میشه؟ سایت خودش گفته cpanel/WHM
شما نمی تونید از cxs استفاده کنید. به نظرم اطلاعات و بکاپ بگیرید سرور و حذف و دوباره راه اندازی کنید.

شما نمی تونید از cxs استفاده کنید. به نظرم اطلاعات و بکاپ بگیرید سرور و حذف و دوباره راه اندازی کنید.
میشه دلیلتون رو بدونم که چرا میگید نمیتونم نصب کنم؟
سرور حذف نمیشه چون اقعا سخته دوباره بخوام کانفیگ کنم باید کلی هزینه کنم خیلی هزینه بردار هست

اول بهتره صورت مسئله را اصلاح کرد. ویروس، مالور، شل یا ... ؟

باید دید مشکل شما کدومش هست تا بعد در خصوص کشف منشا و سیستم مقابله باهاش تصمیم گرفت.

شما هیچ وقت فایل های شناسایی شده را بررسی هم کردید که چی هستند یا صرفا چون عبارت shell داشتن ایندکس شدن ر:

اول بهتره صورت مسئله را اصلاح کرد. ویروس، مالور، شل یا ... ؟

باید دید مشکل شما کدومش هست تا بعد در خصوص کشف منشا و سیستم مقابله باهاش تصمیم گرفت.

شما هیچ وقت فایل های شناسایی شده را بررسی هم کردید که چی هستند یا صرفا چون عبارت shell داشتن ایندکس شدن ر:
اره بررسی کردم همشون میچسبن به دیتابیس (دیتبایسی که توش انواع ویروس هارو میشه شناسایی کرد) clamav و maldetect
عکسش رو براتون فرستادم نگاه کنید
35655

جالب اینجاست روزی یه بار ویروسی میشه
الان ویروس کشی کنم دیگه ویروسی نمیشه تا فردا شب
مثلا فردا عصر ویروس کشی کنم چیزی نیست ، ولی شبش ویروس کشی کنی هست
همش هم همین چند تا فایل هست در تعجب کاملم هی پاک میکنم هی بازم میان

اره بررسی کردم همشون میچسبن به دیتابیس (دیتبایسی که توش انواع ویروس هارو میشه شناسایی کرد) clamav و maldetect
عکسش رو براتون فرستادم نگاه کنید
35655

جالب اینجاست روزی یه بار ویروسی میشه
الان ویروس کشی کنم دیگه ویروسی نمیشه تا فردا شب
مثلا فردا عصر ویروس کشی کنم چیزی نیست ، ولی شبش ویروس کشی کنی هست
همش هم همین چند تا فایل هست در تعجب کاملم هی پاک میکنم هی بازم میان

سلام اطلاعات سایتتون رو بدید براتون بررسی میکنم

سلام اطلاعات سایتتون رو بدید براتون بررسی میکنم

نمیشه یه جوری بگید که چیکار کنم درست شه؟ چون سرور کلید روش هست خیلی درده سره بخوام اطلاعات رو بدم ، باید کلی چیز رو از کار بندازم تا پسورد روش کار کنه :D
داخل فایل کانفیگ clamd شدم یه قسمت نوشته بود on-accses scaning ولی off بود ، on نبود. باید on باشه دیگه درسته؟ ولی خب سرچ زدم نوشته fanotify باید روی لینوکس پشتیبانی شه
که گذینه fanotify هم توی سایت clamav گفته باید کرنل 3.8 به بالا باشه که مال من 2.6.32 هست
یعنی باید لینوکسم بشه نسخه 7 به بالا
الان من کاملا گیج شدم چه کنم از شر این ویروس ها راحت شم قدیم اینجوری نبودن :(

نمیشه یه جوری بگید که چیکار کنم درست شه؟ چون سرور کلید روش هست خیلی درده سره بخوام اطلاعات رو بدم ، باید کلی چیز رو از کار بندازم تا پسورد روش کار کنه :D
داخل فایل کانفیگ clamd شدم یه قسمت نوشته بود on-accses scaning ولی off بود ، on نبود. باید on باشه دیگه درسته؟ ولی خب سرچ زدم نوشته fanotify باید روی لینوکس پشتیبانی شه
که گذینه fanotify هم توی سایت clamav گفته باید کرنل 3.8 به بالا باشه که مال من 2.6.32 هست
یعنی باید لینوکسم بشه نسخه 7 به بالا
الان من کاملا گیج شدم چه کنم از شر این ویروس ها راحت شم قدیم اینجوری نبودن :(

حق دارید اعتماد نکنید ولی من رو همه میشناسند و ما خودمون در شرکتمون بیش از 1200 مشتری اطلاعاتشون در دسرس ماست و اصل بر اعتماد هست
این مشکل دلایل زیادی داره من باید تمام جوانب رو ببینم
دایرکت ادمین هستید یا سیپنل؟

حق دارید اعتماد نکنید ولی من رو همه میشناسند و ما خودمون در شرتمون بیش از 1200 مشتری اطلاعاتشون در دسرس ماست و اصل بر اعتماد هست
این مشکل دلایل زیادی داره من باید تمام جوانب رو ببینم
دایرکت ادمین هستید یا سیپنل؟
اختیار بحث اعتماد نیست، بخوام با کلید بفرستم سخته ، باید کلید رو غیر فعال کنم کلی چیز دیگه ، واقعا سخته دیگه چون پسورد ها بالای 50 کاراکتر هستن باید توی فایل نوت پد ارسال شه
دایرکت ادمین
لینوکس ورژن 6.8
آنتی ویروس clamav و maldetect
mod security 2.9
comodo waf
csf
maldetect و mod security رو ترکیب کردم که از طریق مود سکیورتی اسکن کنه ، ولی خب هیچ اخطاری مبنا بر اینکه شل یا ویروس پیدا شده نداده
حالا فقط مونده که clamav رو با mod security ترکیب کنم که هنوز نکردم
آپاچی 2.4.17
on access scaning clamav هم خاموش هست ، در صورتی که باید روشن باشه (توی فایل clamd.conf دیدم)

اصل بر اعتماد هست

ضمن احترام به شما دوست عزیز، اینجا منظور شخص شما نیست.

در اصل جهل بر اعتماد است. 8-|

هیچ گاه اطلاعات سرور خودتان را به کسی ندهید. این اولین اصل یک سیس ادمین است. تعجب می کنم اینقدر باب هست تبادل رمز روت بین همکاران و البته توصیه به این کار. من باید بخوابم، فردا اگر شد مفصل شرح خواهم داد انشاالله مورد شما نیز پوشش داده خواهد شد درش.

ضمن احترام به شما دوست عزیز، اینجا منظور شخص شما نیست.

در اصل جهل بر اعتماد است. 8-|

هیچ گاه اطلاعات سرور خودتان را به کسی ندهید. این اولین اصل یک سیس ادمین است. تعجب می کنم اینقدر باب هست تبادل رمز روت بین همکاران و البته توصیه به این کار. من باید بخوابم، فردا اگر شد مفصل شرح خواهم داد انشاالله مورد شما نیز پوشش داده خواهد شد درش.

اره واقعا سخته ممنونم از راهنماییتون
دوست عزیز شما میدونید fanotify چیه؟ توی کانفیگ clamd گفته شده برای فعال کردن on access scaning باید fanotify روی لینوکس پشتبیانی شه

میشه دلیلتون رو بدونم که چرا میگید نمیتونم نصب کنم؟
سرور حذف نمیشه چون اقعا سخته دوباره بخوام کانفیگ کنم باید کلی هزینه کنم خیلی هزینه بردار هست
مگه دایرکت نیست ؟

- - - Updated - - -


اره واقعا سخته ممنونم از راهنماییتون
دوست عزیز شما میدونید fanotify چیه؟ توی کانفیگ clamd گفته شده برای فعال کردن on access scaning باید fanotify روی لینوکس پشتبیانی شه
داوود جان، مهندس ابوعلی یکی از پیشکسوتان در این حوزه هستند، به توصیه هاشون توجه کنید ضرر نمی کنید.

مگه دایرکت نیست ؟

- - - Updated - - -


داوود جان، مهندس ابوعلی یکی از پیشکسوتان در این حوزه هستند، به توصیه هاشون توجه کنید ضرر نمی کنید.

اخه میدونید چیه ، دوست دارم خودمم یاد بگیرم انجام بدم
شاید دوباره همچین مشکلی داشت
با راهنمایی دوستان و اساتید بتونم حلش کنم خیلی بهتره چون یاد میگیرم

از اطلاعات بک اپ بگیرید سرور رو دوباره راه اندازی کنید و cxs نصب کنید

از اطلاعات بک اپ بگیرید سرور رو دوباره راه اندازی کنید و cxs نصب کنید
الان cxs نصب کنم خوب نمیشه؟
چون امکان اینکه سرور رو از نوع راه اندازی کنم ندارم

الان cxs نصب کنم خوب نمیشه؟
چون امکان اینکه سرور رو از نوع راه اندازی کنم ندارم
از فایل ها بک اپ بگیرید سرور رو دوباره راه اندازی کنید اگه میشه
cxs نال شده به درد نخواهد خورد باید نسخه اصلی خرید کنید

توصیه دوستان در زمینه بک اپ گیری و راه اندای سرور بد نیست اما تضمین رفع مشکل شما نیست.

وقت نشد مفصل مطلب نشر بدهم از طرفی هم محدودیت های در ایجاد تاپیک در انجمن های آموزشی دارم به نظر :66:

در هر صورت همین جا اشاره به این نکته ضرورت داره که اساسا شما در سیستم عامل لینوکس ویروس به اون معنا که در ویندوز مد نظرتان هست ندارید. هر فایلی که در سطح root در لینوکس تولید و اجرا شود میتواند از نظر امنیتی آسیب هایی برای سیستم داشته باشد در غیر اینصورت (به شرط کانفیگ درست سیستم) هیچ اهمیتی نداره هزاران از این فایل ها در پوشه های کاربران قرار داشته باشد.

اما اگر در پوشه هایی با دسترسی root این فایل ها قرار داشته باشند، نتیجه گیری که می توان کرد 3 حالت است:

1. شما خودتان فایل ها را ایجاد می کنید (توسط یک بش اسکریپت، کرن جاب یا پکیج غیر استاندارد و آلوده که از منبع نامعتبر دریافت و نصب کرده باشید).
2. اکانت موازی با دسترسی root در سرور شما وجود دارد که شما ازش اطلاع ندارید و اون در حال ایجاد فایل ها می باشد.
3. به دلایل کانفیگ نادرست (عدم بهره از مواردی مثل cageFS یا ...) دیگر یوزرها دسترسی ایجاد این فایل ها را دارند.

در لینوکس بر خلاف ویندوز اینطور نیست که خود به خود ویروس منتشر شود صرف وجودش در دیسک کافی نیست بلکه قطعا یک یوزر در اجراش موثر است. چون اکثر پکیج هایی که شما از مخازن RHEL دریافت می کنید حالا چه apt چه yum یا مثلا EPEL تفاوت ندارد اینها همگی کنترل شده و سالم هستند.

فقط پکیچ هایی که مثلا با wget و curl دریافت و نصب می کنید آن هم از مراجع نامعتبر ممکن است آلوده باشند و آن هم همان دفعه که شما اجرا می کنید فقط مجوز ایجاد فایل خواهند داشت نه بیشتر. اما وقتی شما حرف از تکرار مستمر موضوع می زنید شانس این گزینه هم کمرنگ می شود.

اگر به کانفیگ شما خوشبین باشیم، بیش از هرچیز توصیه به بررسی کرن جاب های سیستم می کنم. ممکن است مشکل در اونجا نهفته باشد. همینطور دقت کنید که سرویس های فعال سرورتان چی هستند و گزینه های خودکار اضافی (برای زمان راه اندازی) در آن افزوده نشده باشد.

در غیر اینصور شما که خودتان تولید کننده فایل نیستید پس قطعا یکی از کاربران شما به دلیل ضعف ها در کانفیگ شما دسترسی غیر مجاز جهت تولید این فایل ها را دارد.


دقت کنید مجدد تاکید میکنم موارد فوق هم مربوط به زمانی است که شما فایلی را در پوشه ای خارج از حوزه یک کاربر دارید. اگر نه یک کاربر مجاز است هر فایلی را در پوشه های خودش آپلود کند و این ضعف امنیتی شما نیست. اگر فایل ها در مسیر پوشه های کاربری کاربران است شما کافیست در مقابل حفره های امنیتی خود را محافظت کنید.

به نظر من cxs پاک کردن صورت مسئله است نه یافتن پاسخ مناسب براش. تکیه جدی بهش نداشته باشید.

توصیه دوستان در زمینه بک اپ گیری و راه اندای سرور بد نیست اما تضمین رفع مشکل شما نیست.

وقت نشد مفصل مطلب نشر بدهم از طرفی هم محدودیت های در ایجاد تاپیک در انجمن های آموزشی دارم به نظر :66:

در هر صورت همین جا اشاره به این نکته ضرورت داره که اساسا شما در سیستم عامل لینوکس ویروس به اون معنا که در ویندوز مد نظرتان هست ندارید. هر فایلی که در سطح root در لینوکس تولید و اجرا شود میتواند از نظر امنیتی آسیب هایی برای سیستم داشته باشد در غیر اینصورت (به شرط کانفیگ درست سیستم) هیچ اهمیتی نداره هزاران از این فایل ها در پوشه های کاربران قرار داشته باشد.

اما اگر در پوشه هایی با دسترسی root این فایل ها قرار داشته باشند، نتیجه گیری که می توان کرد 3 حالت است:

1. شما خودتان فایل ها را ایجاد می کنید (توسط یک بش اسکریپت، کرن جاب یا پکیج غیر استاندارد و آلوده که از منبع نامعتبر دریافت و نصب کرده باشید).
2. اکانت موازی با دسترسی root در سرور شما وجود دارد که شما ازش اطلاع ندارید و اون در حال ایجاد فایل ها می باشد.
3. به دلایل کانفیگ نادرست (عدم بهره از مواردی مثل cageFS یا ...) دیگر یوزرها دسترسی ایجاد این فایل ها را دارند.

در لینوکس بر خلاف ویندوز اینطور نیست که خود به خود ویروس منتشر شود صرف وجودش در دیسک کافی نیست بلکه قطعا یک یوزر در اجراش موثر است. چون اکثر پکیج هایی که شما از مخازن RHEL دریافت می کنید حالا چه apt چه yum یا مثلا EPEL تفاوت ندارد اینها همگی کنترل شده و سالم هستند.

فقط پکیچ هایی که مثلا با wget و curl دریافت و نصب می کنید آن هم از مراجع نامعتبر ممکن است آلوده باشند و آن هم همان دفعه که شما اجرا می کنید فقط مجوز ایجاد فایل خواهند داشت نه بیشتر. اما وقتی شما حرف از تکرار مستمر موضوع می زنید شانس این گزینه هم کمرنگ می شود.

اگر به کانفیگ شما خوشبین باشیم، بیش از هرچیز توصیه به بررسی کرن جاب های سیستم می کنم. ممکن است مشکل در اونجا نهفته باشد. همینطور دقت کنید که سرویس های فعال سرورتان چی هستند و گزینه های خودکار اضافی (برای زمان راه اندازی) در آن افزوده نشده باشد.

در غیر اینصور شما که خودتان تولید کننده فایل نیستید پس قطعا یکی از کاربران شما به دلیل ضعف ها در کانفیگ شما دسترسی غیر مجاز جهت تولید این فایل ها را دارد.


دقت کنید مجدد تاکید میکنم موارد فوق هم مربوط به زمانی است که شما فایلی را در پوشه ای خارج از حوزه یک کاربر دارید. اگر نه یک کاربر مجاز است هر فایلی را در پوشه های خودش آپلود کند و این ضعف امنیتی شما نیست. اگر فایل ها در مسیر پوشه های کاربری کاربران است شما کافیست در مقابل حفره های امنیتی خود را محافظت کنید.

به نظر من cxs پاک کردن صورت مسئله است نه یافتن پاسخ مناسب براش. تکیه جدی بهش نداشته باشید.
خیلی خوب گفتید ممنونم
اینکه داخل پوشه هایی به دسترسی روت میرن یا نه رو خبر ندارم
ولی ویروس ها دقیقا چین؟ عکسش رو زیر میفرستم
خیلی جالبه دقیقا دیتابیس clamav و maldetect که در آن انواع ویروس ها رو شرح کداده که چه جوری شناسایی کنه اون دیتابیس ها رو میگه که ویورس هست
مثلا فایل rfxn.hdb یا md5.dat یا hex.dat در پوشه sigs
تا جایی که من بدونم پوشه sigs پوشه های هست که مثلا اون انتی ویروس انواع ویروس هایی که میشناسه رو داخل اون فایل ها قرار میده
حالا همون فایل ها رو میگه که ویروس هست
غیر از این فایل ها هیچ فایل دیگه ای ویروسی نمیشه
مثلا فایل این بار ها گفته که ویروس هست
rfxn.yara
یه نگاه به عکس بندازید و انواع ویروس هایی که شناخته
نیست پاکش میکنم ، خب دفعه دیگه بخوام ویروس کشی کنم ویروس کشی نمیکنه چرا؟ میگه فایل هایی که بشه باهاش ویروس هارو شناخت وجو نداره، مجبور آنتی ویروس رو بزنم آپدیت ، وقتی میزنم آپدیت اون فایل هارو میگیره ، و وقتی میگره فرداش باز میگه اینا ویروس هست ، در صورتی که مال خود انتی ویروس هست (تا جایی که من بدونم)
میخوام مشکل رو پیدا کنم حل کنم بعدش سرور رو دوباره راه اندازی بکنم ، چون با راه اندازی دوباره سرور ، صورت مساله فقط پاک شده ، حل نشده. و ممکن هست بازم ویروسی شه

عکس از ویروس ها
35681

بنده پیشنهاد می کنم از هیچ آنتی ویروسی روی لینوکس استفاده نکنید. یا اگر برای حفظ ظاهر جلوی مشتریان هم میخواهید استفاده کنید، خودتان باش سر و کله نزنید و جدیش نگیرید.

شکافتن تخصصی مسئله گفتار را طولانی و شاید برای شما بیهوده بکرد، بنابراین پیشنهاد آخرم را اول کار دادم. البته بررسی مواردی که در پست قبل مطرح کردم ضروری است.

بنده پیشنهاد می کنم از هیچ آنتی ویروسی روی لینوکس استفاده نکنید. یا اگر برای حفظ ظاهر جلوی مشتریان هم میخواهید استفاده کنید، خودتان باش سر و کله نزنید و جدیش نگیرید.

شکافتن تخصصی مسئله گفتار را طولانی و شاید برای شما بیهوده بکرد، بنابراین پیشنهاد آخرم را اول کار دادم. البته بررسی مواردی که در پست قبل مطرح کردم ضروری است.

اصلا واسه مشتری نیست ، هاستینگ ندارم ، فقط یه سایت دارم که براش سرور مجازی گرفتم
سایت هم مهم هست ، ویروسی شدنش یکم خطرناک هست
ولی خیلی جالبه برام که فقط دیتابیس های آنتی ویروس ها رومیگه ویروس هست
انتی ویروس clamav باگ نداره؟ چون با maldet اسکن میکنم میگه چیزی نیست

سایت هم مهم هست ، ویروسی شدنش یکم خطرناک هست


ویروسی شدن لینوکس؟

بنده یک بار شرح دادم خدمت شما ما چیزی به اسم ویروسی شدن لینوکس نداریم. جز اون 3 حالت هیچ امکانی ندارد سر خود سیستم لینوکسی شما کارهای عجیب و غریب ازش سر بزند.

clamav و خیلی از آنتی ویروس های لینوکسی که به دروغ مدعی شناسایی ویروس های لینوکسی هستند در اکثر موارد کمتر از 10 مورد ایندکس ویروس لینوکس را دارند بیشتر اکسپلویت شناس هستند تا ویروس. در اصل این آنتی ویروس ها بیشتر مناسب کاربران ویندوزی هستند که ممکن است با سرور شما سر و کار داشته باشند.

برخی از این مجموعه به صورت مخفی با حمایت مایکروسافت سر پا هستدن و برخی میگویند خیرخواهانه در هر صورت اینجا هدف اصلی این بود که شما و دیگر دوستان بدانید که این آنتی ویروس ها با هدف حفاظت کاربران ویندوز روی سیستم های لینوکسی نصب می شوند تا اگر از طریق شبکه یا رایت دیسک یا ... شما با یک سیستم ویندوزی تبادل دیتا دارید اون ویندوزی آلوده نشود.

یعنی در بسیاری از ریپورت ها چیزی که به شما به عنوان ویروس معرفی میشود به هیچ وجه خطری برای سرور خود شما ندارد بلکه اون فایل آلوده اگر به هر طریق به یک سرور ویندوزی منتقل شود آسیب زننده خواهد بود.

این البته تجربیات و نظرات بنده است، دوستان دیگر هم قطعا میتوانند شما را با تجربیات و نظرات خود راهنمایی کنند.