-
January 21st, 2016, 22:29
#1
عضو جدید
ناتوانی در حذف دائمی malware
سلام دوستان
یک سرور داریم اوبونتو 14.04 روشه
یک malware اومده تو سیستم که برای ddos هم هست
clamav پیداش میکنه و پاک میکنه ولی بلافاصله دوباره ایجاد میشه
یه راهنمایی تو نت بود که از فولدر /usr/bin و /etc/init.d پاک میکردیم.
خوب بود ولی بعد یه مدت بیشتر باز میاد
با سرعت 1 گیگابیت بر ثانیه داشت آپلود میکرد .
تو چند روز 17 ترابایت پهنای باند مصرف کرد 
خلاصه با فایروال جلوی مصرف پهنای باندو گرفتم ولی همچنان سی پی یو درگیره
حالا من این وسط 3 تا سوال دارم
1- چطوری برای همیشه پاکش کنم؟
2- این clamav ریل تایم پروتکشن نداره؟ هیچ آنتی ویروس لینوکسی نداره ؟ چون وقتی اسکن میکنم میگیرتش خب چرا خودش اتومات نمیگیره ؟
یه کومودو ریختم که البته قدیمی بود ولی جلوی پروسس هارو میگرفت ولی خودش بیشتر از اون malware ها سی پی یو رو اشغال میکرد.
3- اصولا سروری که هیچ کاربری غیر خودم نداره و اینستالیشن سیستم عامل هم تازه بوده چطوری چنین malware ای گرفته ؟
ممنون
-
-
January 21st, 2016 22:29
# ADS
-
January 22nd, 2016, 08:14
#2
عضو انجمن
پاسخ : ناتوانی در حذف دائمی malware
نوشته اصلی توسط
shervinrv
سلام دوستان
یک سرور داریم اوبونتو 14.04 روشه
یک malware اومده تو سیستم که برای ddos هم هست
clamav پیداش میکنه و پاک میکنه ولی بلافاصله دوباره ایجاد میشه
یه راهنمایی تو نت بود که از فولدر /usr/bin و /etc/init.d پاک میکردیم.
خوب بود ولی بعد یه مدت بیشتر باز میاد
با سرعت 1 گیگابیت بر ثانیه داشت آپلود میکرد .
تو چند روز 17 ترابایت پهنای باند مصرف کرد
خلاصه با فایروال جلوی مصرف پهنای باندو گرفتم ولی همچنان سی پی یو درگیره
حالا من این وسط 3 تا سوال دارم
1- چطوری برای همیشه پاکش کنم؟
2- این clamav ریل تایم پروتکشن نداره؟ هیچ آنتی ویروس لینوکسی نداره ؟ چون وقتی اسکن میکنم میگیرتش خب چرا خودش اتومات نمیگیره ؟
یه کومودو ریختم که البته قدیمی بود ولی جلوی پروسس هارو میگرفت ولی خودش بیشتر از اون malware ها سی پی یو رو اشغال میکرد.
3- اصولا سروری که هیچ کاربری غیر خودم نداره و اینستالیشن سیستم عامل هم تازه بوده چطوری چنین malware ای گرفته ؟
ممنون
اسم این Malware رو هم کاش میگفتید دوست عزیز. خیر Clamav به خودی خود که real time protection نداره. میتونید از maldet استفاده کنید شاید کمکی کنه ولی با توجه به اینکه مشکل در گیر شدن CPU و منابع دارید بعیده که maldet هم اوضاع بهتری داشته باشه. سرور های شخصی گاهی اگر روی پورت ۲۲ و با رمز خیلی ساده باشن میتونن هدف brute force attack های حرفه ای قرار بگیرن...
-
تعداد تشکر ها از compiler به دلیل پست مفید
-
January 22nd, 2016, 11:48
#3
عضو جدید
پاسخ : ناتوانی در حذف دائمی malware
نوشته اصلی توسط
compiler
اسم این malware رو هم کاش میگفتید دوست عزیز. خیر clamav به خودی خود که real time protection نداره. میتونید از maldet استفاده کنید شاید کمکی کنه ولی با توجه به اینکه مشکل در گیر شدن cpu و منابع دارید بعیده که maldet هم اوضاع بهتری داشته باشه. سرور های شخصی گاهی اگر روی پورت ۲۲ و با رمز خیلی ساده باشن میتونن هدف brute force attack های حرفه ای قرار بگیرن...
خیلی ممنون دوست عزیز
والا اسمای خیلی عجیب غریبی داره انگار یکی دستشو گذاشته رو کیبورد و الکی تایپ کرده
اسم پروسس ها چیزای معروف خود سیستمه
مثلا pid
passwd
یه چیزایی که کسی شک نکنه
پس بخاطر پسورده
چون پسوردم خیلی قوی بود
خواستم بدم طراح رو سایت کار کنه پسوردو گذاشتم 123456
از اون موقع اینجوری میشه
ممنون از راهنماییت
پسوردو عوض میکنم و دیلیتش میکنم ببینم باز برمیگرده یا نه
-
-
January 22nd, 2016, 12:48
#4
عضو انجمن
پاسخ : ناتوانی در حذف دائمی malware
درود
100% به خاطر پسورد است.وی پی اس شما هک شده.برای real time protection نیز میتوانید از ESET استفاده کنید و یا CalmAV را روی اتوماتیک اسکن تنظیم کنید که البته این مورد هم منابع را درگیر خواهد کرد.
شرکت پیشگامان فناوری اطلاعات تیناب(
سکویا سرور) شماره ثبت:44188
موبایل:09163066823 و 09386398967 ----- Telegram:@sekoyaserver
مدیریت:علیرضا فقیه
-
تعداد تشکر ها از sssoheil به دلیل پست مفید
پاسخ با نقل قول
