ویروسی شدن سرور مجازی لینوکس

[Ashkankamangar.ir]

نمیشه یه جوری بگید که چیکار کنم درست شه؟ چون سرور کلید روش هست خیلی درده سره بخوام اطلاعات رو بدم ، باید کلی چیز رو از کار بندازم تا پسورد روش کار کنه :D
داخل فایل کانفیگ clamd شدم یه قسمت نوشته بود on-accses scaning ولی off بود ، on نبود. باید on باشه دیگه درسته؟ ولی خب سرچ زدم نوشته fanotify باید روی لینوکس پشتیبانی شه
که گذینه fanotify هم توی سایت clamav گفته باید کرنل 3.8 به بالا باشه که مال من 2.6.32 هست
یعنی باید لینوکسم بشه نسخه 7 به بالا
الان من کاملا گیج شدم چه کنم از شر این ویروس ها راحت شم قدیم اینجوری نبودن

حق دارید اعتماد نکنید ولی من رو همه میشناسند و ما خودمون در شرکتمون بیش از 1200 مشتری اطلاعاتشون در دسرس ماست و اصل بر اعتماد هست
این مشکل دلایل زیادی داره من باید تمام جوانب رو ببینم
دایرکت ادمین هستید یا سیپنل؟

[davood_71]

حق دارید اعتماد نکنید ولی من رو همه میشناسند و ما خودمون در شرتمون بیش از 1200 مشتری اطلاعاتشون در دسرس ماست و اصل بر اعتماد هست
این مشکل دلایل زیادی داره من باید تمام جوانب رو ببینم
دایرکت ادمین هستید یا سیپنل؟

اختیار بحث اعتماد نیست، بخوام با کلید بفرستم سخته ، باید کلید رو غیر فعال کنم کلی چیز دیگه ، واقعا سخته دیگه چون پسورد ها بالای 50 کاراکتر هستن باید توی فایل نوت پد ارسال شه
دایرکت ادمین
لینوکس ورژن 6.8
آنتی ویروس clamav و maldetect
mod security 2.9
comodo waf
csf
maldetect و mod security رو ترکیب کردم که از طریق مود سکیورتی اسکن کنه ، ولی خب هیچ اخطاری مبنا بر اینکه شل یا ویروس پیدا شده نداده
حالا فقط مونده که clamav رو با mod security ترکیب کنم که هنوز نکردم
آپاچی 2.4.17
on access scaning clamav هم خاموش هست ، در صورتی که باید روشن باشه (توی فایل clamd.conf دیدم)

[M.Abooali]

اصل بر اعتماد هست

ضمن احترام به شما دوست عزیز، اینجا منظور شخص شما نیست.

در اصل جهل بر اعتماد است.

هیچ گاه اطلاعات سرور خودتان را به کسی ندهید. این اولین اصل یک سیس ادمین است. تعجب می کنم اینقدر باب هست تبادل رمز روت بین همکاران و البته توصیه به این کار. من باید بخوابم، فردا اگر شد مفصل شرح خواهم داد انشاالله مورد شما نیز پوشش داده خواهد شد درش.

[davood_71]

ضمن احترام به شما دوست عزیز، اینجا منظور شخص شما نیست.

در اصل جهل بر اعتماد است.

هیچ گاه اطلاعات سرور خودتان را به کسی ندهید. این اولین اصل یک سیس ادمین است. تعجب می کنم اینقدر باب هست تبادل رمز روت بین همکاران و البته توصیه به این کار. من باید بخوابم، فردا اگر شد مفصل شرح خواهم داد انشاالله مورد شما نیز پوشش داده خواهد شد درش.

اره واقعا سخته ممنونم از راهنماییتون
دوست عزیز شما میدونید fanotify چیه؟ توی کانفیگ clamd گفته شده برای فعال کردن on access scaning باید fanotify روی لینوکس پشتبیانی شه

[hospusco]

میشه دلیلتون رو بدونم که چرا میگید نمیتونم نصب کنم؟
سرور حذف نمیشه چون اقعا سخته دوباره بخوام کانفیگ کنم باید کلی هزینه کنم خیلی هزینه بردار هست

مگه دایرکت نیست ؟

- - - Updated - - -

اره واقعا سخته ممنونم از راهنماییتون
دوست عزیز شما میدونید fanotify چیه؟ توی کانفیگ clamd گفته شده برای فعال کردن on access scaning باید fanotify روی لینوکس پشتبیانی شه

داوود جان، مهندس ابوعلی یکی از پیشکسوتان در این حوزه هستند، به توصیه هاشون توجه کنید ضرر نمی کنید.

[davood_71]

مگه دایرکت نیست ؟

- - - Updated - - -


داوود جان، مهندس ابوعلی یکی از پیشکسوتان در این حوزه هستند، به توصیه هاشون توجه کنید ضرر نمی کنید.

اخه میدونید چیه ، دوست دارم خودمم یاد بگیرم انجام بدم
شاید دوباره همچین مشکلی داشت
با راهنمایی دوستان و اساتید بتونم حلش کنم خیلی بهتره چون یاد میگیرم

[tak--host]

از اطلاعات بک اپ بگیرید سرور رو دوباره راه اندازی کنید و cxs نصب کنید

[davood_71]

از اطلاعات بک اپ بگیرید سرور رو دوباره راه اندازی کنید و cxs نصب کنید

الان cxs نصب کنم خوب نمیشه؟
چون امکان اینکه سرور رو از نوع راه اندازی کنم ندارم

[DaNiaL.RiCaRoS]

الان cxs نصب کنم خوب نمیشه؟
چون امکان اینکه سرور رو از نوع راه اندازی کنم ندارم

از فایل ها بک اپ بگیرید سرور رو دوباره راه اندازی کنید اگه میشه
cxs نال شده به درد نخواهد خورد باید نسخه اصلی خرید کنید

[M.Abooali]

توصیه دوستان در زمینه بک اپ گیری و راه اندای سرور بد نیست اما تضمین رفع مشکل شما نیست.

وقت نشد مفصل مطلب نشر بدهم از طرفی هم محدودیت های در ایجاد تاپیک در انجمن های آموزشی دارم به نظر

در هر صورت همین جا اشاره به این نکته ضرورت داره که اساسا شما در سیستم عامل لینوکس ویروس به اون معنا که در ویندوز مد نظرتان هست ندارید. هر فایلی که در سطح root در لینوکس تولید و اجرا شود میتواند از نظر امنیتی آسیب هایی برای سیستم داشته باشد در غیر اینصورت (به شرط کانفیگ درست سیستم) هیچ اهمیتی نداره هزاران از این فایل ها در پوشه های کاربران قرار داشته باشد.

اما اگر در پوشه هایی با دسترسی root این فایل ها قرار داشته باشند، نتیجه گیری که می توان کرد 3 حالت است:

1. شما خودتان فایل ها را ایجاد می کنید (توسط یک بش اسکریپت، کرن جاب یا پکیج غیر استاندارد و آلوده که از منبع نامعتبر دریافت و نصب کرده باشید).
2. اکانت موازی با دسترسی root در سرور شما وجود دارد که شما ازش اطلاع ندارید و اون در حال ایجاد فایل ها می باشد.
3. به دلایل کانفیگ نادرست (عدم بهره از مواردی مثل cageFS یا ...) دیگر یوزرها دسترسی ایجاد این فایل ها را دارند.

در لینوکس بر خلاف ویندوز اینطور نیست که خود به خود ویروس منتشر شود صرف وجودش در دیسک کافی نیست بلکه قطعا یک یوزر در اجراش موثر است. چون اکثر پکیج هایی که شما از مخازن RHEL دریافت می کنید حالا چه apt چه yum یا مثلا EPEL تفاوت ندارد اینها همگی کنترل شده و سالم هستند.

فقط پکیچ هایی که مثلا با wget و curl دریافت و نصب می کنید آن هم از مراجع نامعتبر ممکن است آلوده باشند و آن هم همان دفعه که شما اجرا می کنید فقط مجوز ایجاد فایل خواهند داشت نه بیشتر. اما وقتی شما حرف از تکرار مستمر موضوع می زنید شانس این گزینه هم کمرنگ می شود.

اگر به کانفیگ شما خوشبین باشیم، بیش از هرچیز توصیه به بررسی کرن جاب های سیستم می کنم. ممکن است مشکل در اونجا نهفته باشد. همینطور دقت کنید که سرویس های فعال سرورتان چی هستند و گزینه های خودکار اضافی (برای زمان راه اندازی) در آن افزوده نشده باشد.

در غیر اینصور شما که خودتان تولید کننده فایل نیستید پس قطعا یکی از کاربران شما به دلیل ضعف ها در کانفیگ شما دسترسی غیر مجاز جهت تولید این فایل ها را دارد.


دقت کنید مجدد تاکید میکنم موارد فوق هم مربوط به زمانی است که شما فایلی را در پوشه ای خارج از حوزه یک کاربر دارید. اگر نه یک کاربر مجاز است هر فایلی را در پوشه های خودش آپلود کند و این ضعف امنیتی شما نیست. اگر فایل ها در مسیر پوشه های کاربری کاربران است شما کافیست در مقابل حفره های امنیتی خود را محافظت کنید.

به نظر من cxs پاک کردن صورت مسئله است نه یافتن پاسخ مناسب براش. تکیه جدی بهش نداشته باشید.