نقل قول نوشته اصلی توسط demonvictor نمایش پست ها
اوه شِت. این ویروسو یادمه یکی از سرورهای ماهم گرفته بود. خیلی هوشمند و قوی برنامه‌نویسی شده. واقعا برنامه نویس خوبی بوده. دمش گرم.

یادمه ما این ویروس رواز طریق ایمیج اصلی ردیس گرفته بودیم. اما معمولا یکسری بسته های کاملا رسمی و نسخه اصلی پی‌اچ‌پی هم این وروس رو دارن و تقریبا راهکار های استک آور فلو هم جواب نبود حتی پراسس هایی هم که میسازه با اسم های رندوم میسازه و تمام اون راهکار ها روی اون نسخه های قدیمیش، کار میکنه.

من دقیقا یادم نیست ولی تقریبا میدونم، که این ویروس رو دیدیم از طریق یک پورت‌بخصوصی، واردسرور میشه و ما اون پورت رو کلا مسدودش کردیم.

منتهی ما چون پروژه هامون رو روی سرور، روی کانتینر به مشتری ارایه‌میدیم، مجددا سرویسش رو بیلد گرفتیم که اثری از ویروس داخلش نباشه و بعدش پورت موردنظر رو هم کلا بستیمش از روی نتورک کانتینرش. برای همین دیگه از شرش راحت شدیم.

اما شما که روی سرور اصلی تونه، بنظرم شماهم باید سرورتون رو از ابتدا بیلد بگیرید و جلوی سرویسی که نصب کردید و پورت ورود این ویروس هست رو ببندید که دیگه مشکل تون حل بشه.

این سرور اصلی نیست میتونیم سرور و ریست کنیم ولی دنبال اینم چطوری از بین بره کلا برای روزی که اگه دوباره دچار این ویروس شدیم
یه سرور داریم که فقط postgres روش نصب شده و چون چند نفر بهش متصل میشن دسترسی ip های مختلف روی postgres الان فعال هست که واسه نسخه نهایی این مورد و نداریم
پورت هم الان فقط سه تا پورت باز گذاشتم
تنها کارایی که دیشب به ذهنم رسید کلاس کرونجاب و برای یوزر postgres غیرفعال کردم و با ران کردن یه اسکریپت اجازه ساختن فایلی با پسوندهای مختلف kdevtmpfsi و kinsing و نده ولی خب باز اینا فکر میکنم پاک کردن صورت مسئله هست