نمایش نسخه قابل چاپ
اصلا وجود فایلنقل قول:
نوشته اصلی توسط parsspace
/libkeyutils.so.1.9
به معنی آلوده شدن می باشد به این دلیل که این فایل پیش فرض سیستم نمی باشد و توسط هکر generate می گردد و دستور فوق در واقع برای جلوگیری موقت از اعمال تغییرات روی فایل استفاده می گردد
سیستمی که infected نمی باشد همچین فایل رو ندارد
درست متوجه شدم ؟نقل قول:
نوشته اصلی توسط nginxweb
یعنی اگه از این دستور استفاده کنیم تا ریبوت نشه مشکلی نخواهد بود ؟
خوب پس میتونیم زودتر خودمون این فایل رو لینک کنیم به فایل اصلی و بعد chattr کنیمش. یه چیزی شبیه همون راه حلی که دوسمتون گفت
به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟
غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.نقل قول:
نوشته اصلی توسط Kian
اگه هکر بتونه فایلی که با کامندهایی که داده اید ساختیم رو اوررایت کنه اونوقت تکلیف چیه ؟نقل قول:
نوشته اصلی توسط parsspace
ضمنا اگه سی پنل و دایرکت آدمین و ... داشته باشید ConfigServer Explorer موقتا کارتون رو راه میندازه تا پچ کنند.
ما با دسترسی ادمین مجوز تغییر روی اون فایل رو غیر فعال میکنیم. و جهت فعال کردن مجدد مجوز تغییر روی اون فایل نیاز به دسترسی ادمین هست. هکر اگه دسترسی ادمین داشته باشه که دیگه نیازی به تغییر اون فایل نداره. با مجوزی که داره همه کار میتونه انجام بده
دوستان با دستور زیر آلوده بودن سرور رو میتونید چک کنید:
اگر خروجی چیزی مانند زیر بود:کد:lsof -nP | grep libkeyutils
کد:httpd 879298 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879303 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879305 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879306 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879307 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879328 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
100% آلوده هستش سرورتون
آخرش حتما باید 9 باشه که آلوده باشه؟
کد:root@server:/tmp# lsof -nP | grep libkeyutils
named 6787 bind mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 15917 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24424 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24509 sug mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24916 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24958 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25000 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25004 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
نقل قول:
نوشته اصلی توسط parsspace
بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:
کد:strings /lib64/libkeyutils.so.1.3