ویروسی شدن سرور مجازی لینوکس

[davood_71]

توصیه دوستان در زمینه بک اپ گیری و راه اندای سرور بد نیست اما تضمین رفع مشکل شما نیست.

وقت نشد مفصل مطلب نشر بدهم از طرفی هم محدودیت های در ایجاد تاپیک در انجمن های آموزشی دارم به نظر

در هر صورت همین جا اشاره به این نکته ضرورت داره که اساسا شما در سیستم عامل لینوکس ویروس به اون معنا که در ویندوز مد نظرتان هست ندارید. هر فایلی که در سطح root در لینوکس تولید و اجرا شود میتواند از نظر امنیتی آسیب هایی برای سیستم داشته باشد در غیر اینصورت (به شرط کانفیگ درست سیستم) هیچ اهمیتی نداره هزاران از این فایل ها در پوشه های کاربران قرار داشته باشد.

اما اگر در پوشه هایی با دسترسی root این فایل ها قرار داشته باشند، نتیجه گیری که می توان کرد 3 حالت است:

1. شما خودتان فایل ها را ایجاد می کنید (توسط یک بش اسکریپت، کرن جاب یا پکیج غیر استاندارد و آلوده که از منبع نامعتبر دریافت و نصب کرده باشید).
2. اکانت موازی با دسترسی root در سرور شما وجود دارد که شما ازش اطلاع ندارید و اون در حال ایجاد فایل ها می باشد.
3. به دلایل کانفیگ نادرست (عدم بهره از مواردی مثل cageFS یا ...) دیگر یوزرها دسترسی ایجاد این فایل ها را دارند.

در لینوکس بر خلاف ویندوز اینطور نیست که خود به خود ویروس منتشر شود صرف وجودش در دیسک کافی نیست بلکه قطعا یک یوزر در اجراش موثر است. چون اکثر پکیج هایی که شما از مخازن RHEL دریافت می کنید حالا چه apt چه yum یا مثلا EPEL تفاوت ندارد اینها همگی کنترل شده و سالم هستند.

فقط پکیچ هایی که مثلا با wget و curl دریافت و نصب می کنید آن هم از مراجع نامعتبر ممکن است آلوده باشند و آن هم همان دفعه که شما اجرا می کنید فقط مجوز ایجاد فایل خواهند داشت نه بیشتر. اما وقتی شما حرف از تکرار مستمر موضوع می زنید شانس این گزینه هم کمرنگ می شود.

اگر به کانفیگ شما خوشبین باشیم، بیش از هرچیز توصیه به بررسی کرن جاب های سیستم می کنم. ممکن است مشکل در اونجا نهفته باشد. همینطور دقت کنید که سرویس های فعال سرورتان چی هستند و گزینه های خودکار اضافی (برای زمان راه اندازی) در آن افزوده نشده باشد.

در غیر اینصور شما که خودتان تولید کننده فایل نیستید پس قطعا یکی از کاربران شما به دلیل ضعف ها در کانفیگ شما دسترسی غیر مجاز جهت تولید این فایل ها را دارد.


دقت کنید مجدد تاکید میکنم موارد فوق هم مربوط به زمانی است که شما فایلی را در پوشه ای خارج از حوزه یک کاربر دارید. اگر نه یک کاربر مجاز است هر فایلی را در پوشه های خودش آپلود کند و این ضعف امنیتی شما نیست. اگر فایل ها در مسیر پوشه های کاربری کاربران است شما کافیست در مقابل حفره های امنیتی خود را محافظت کنید.

به نظر من cxs پاک کردن صورت مسئله است نه یافتن پاسخ مناسب براش. تکیه جدی بهش نداشته باشید.

خیلی خوب گفتید ممنونم
اینکه داخل پوشه هایی به دسترسی روت میرن یا نه رو خبر ندارم
ولی ویروس ها دقیقا چین؟ عکسش رو زیر میفرستم
خیلی جالبه دقیقا دیتابیس clamav و maldetect که در آن انواع ویروس ها رو شرح کداده که چه جوری شناسایی کنه اون دیتابیس ها رو میگه که ویورس هست
مثلا فایل rfxn.hdb یا md5.dat یا hex.dat در پوشه sigs
تا جایی که من بدونم پوشه sigs پوشه های هست که مثلا اون انتی ویروس انواع ویروس هایی که میشناسه رو داخل اون فایل ها قرار میده
حالا همون فایل ها رو میگه که ویروس هست
غیر از این فایل ها هیچ فایل دیگه ای ویروسی نمیشه
مثلا فایل این بار ها گفته که ویروس هست
rfxn.yara
یه نگاه به عکس بندازید و انواع ویروس هایی که شناخته
نیست پاکش میکنم ، خب دفعه دیگه بخوام ویروس کشی کنم ویروس کشی نمیکنه چرا؟ میگه فایل هایی که بشه باهاش ویروس هارو شناخت وجو نداره، مجبور آنتی ویروس رو بزنم آپدیت ، وقتی میزنم آپدیت اون فایل هارو میگیره ، و وقتی میگره فرداش باز میگه اینا ویروس هست ، در صورتی که مال خود انتی ویروس هست (تا جایی که من بدونم)
میخوام مشکل رو پیدا کنم حل کنم بعدش سرور رو دوباره راه اندازی بکنم ، چون با راه اندازی دوباره سرور ، صورت مساله فقط پاک شده ، حل نشده. و ممکن هست بازم ویروسی شه

عکس از ویروس ها
Untitled.png

[M.Abooali]

بنده پیشنهاد می کنم از هیچ آنتی ویروسی روی لینوکس استفاده نکنید. یا اگر برای حفظ ظاهر جلوی مشتریان هم میخواهید استفاده کنید، خودتان باش سر و کله نزنید و جدیش نگیرید.

شکافتن تخصصی مسئله گفتار را طولانی و شاید برای شما بیهوده بکرد، بنابراین پیشنهاد آخرم را اول کار دادم. البته بررسی مواردی که در پست قبل مطرح کردم ضروری است.

[davood_71]

بنده پیشنهاد می کنم از هیچ آنتی ویروسی روی لینوکس استفاده نکنید. یا اگر برای حفظ ظاهر جلوی مشتریان هم میخواهید استفاده کنید، خودتان باش سر و کله نزنید و جدیش نگیرید.

شکافتن تخصصی مسئله گفتار را طولانی و شاید برای شما بیهوده بکرد، بنابراین پیشنهاد آخرم را اول کار دادم. البته بررسی مواردی که در پست قبل مطرح کردم ضروری است.

اصلا واسه مشتری نیست ، هاستینگ ندارم ، فقط یه سایت دارم که براش سرور مجازی گرفتم
سایت هم مهم هست ، ویروسی شدنش یکم خطرناک هست
ولی خیلی جالبه برام که فقط دیتابیس های آنتی ویروس ها رومیگه ویروس هست
انتی ویروس clamav باگ نداره؟ چون با maldet اسکن میکنم میگه چیزی نیست

[M.Abooali]

سایت هم مهم هست ، ویروسی شدنش یکم خطرناک هست

ویروسی شدن لینوکس؟

بنده یک بار شرح دادم خدمت شما ما چیزی به اسم ویروسی شدن لینوکس نداریم. جز اون 3 حالت هیچ امکانی ندارد سر خود سیستم لینوکسی شما کارهای عجیب و غریب ازش سر بزند.

clamav و خیلی از آنتی ویروس های لینوکسی که به دروغ مدعی شناسایی ویروس های لینوکسی هستند در اکثر موارد کمتر از 10 مورد ایندکس ویروس لینوکس را دارند بیشتر اکسپلویت شناس هستند تا ویروس. در اصل این آنتی ویروس ها بیشتر مناسب کاربران ویندوزی هستند که ممکن است با سرور شما سر و کار داشته باشند.

برخی از این مجموعه به صورت مخفی با حمایت مایکروسافت سر پا هستدن و برخی میگویند خیرخواهانه در هر صورت اینجا هدف اصلی این بود که شما و دیگر دوستان بدانید که این آنتی ویروس ها با هدف حفاظت کاربران ویندوز روی سیستم های لینوکسی نصب می شوند تا اگر از طریق شبکه یا رایت دیسک یا ... شما با یک سیستم ویندوزی تبادل دیتا دارید اون ویندوزی آلوده نشود.

یعنی در بسیاری از ریپورت ها چیزی که به شما به عنوان ویروس معرفی میشود به هیچ وجه خطری برای سرور خود شما ندارد بلکه اون فایل آلوده اگر به هر طریق به یک سرور ویندوزی منتقل شود آسیب زننده خواهد بود.

این البته تجربیات و نظرات بنده است، دوستان دیگر هم قطعا میتوانند شما را با تجربیات و نظرات خود راهنمایی کنند.