23 Kasım 2024 03:33

Anasayfa

undefined...

Linux türevleri kurulu sunucularda genelde web sayfası üzerinden upload açığından yararlanılarak yüklenen bir php dosyası sayesinde sunucuda mining işlemi yaptırılmakta. Tabi sunucuya erişim sonrası saldırı amaçlıda kullanılabiliyor.

Kısa anlatmak ve hemen temizliğe geçmek için detaylara daha sonra gireceğiz.

Öncelikle terminalinizi 2 ye bölüp ya da 2 ayrı uygulama ile sunucuya ssh üzerinden bağlantı yapıyoruz.

Bir ekranda kurulum ve tarama yaparken diğerinde zararlı servisleri bulup dosyaları/klasörleri sileceğiz.

Kurulum Ekran:

clamav Kurulum

sudo apt install clamav clamav-daemon -y;

Güncel zararlı veritabanını yüklemek

freshclam

 

Klasör tarama

clamscan -r /etc/
clamscan -r /home/
clamscan -r /tmp/


Crontab ile otomatik tarama. Her 6 saate bir tara.

crontab -e
0 */6 * * * clamscan -r / >/dev/null 2>&1

 Tarama bittikten sonra zararlı dosyaları silmemiz gerekiyor.

Temizleme Ekranı:

htop uygulamasını kurup çalışan servisleri takip ediyoruz.

sudo apt install -y htop; htop

htop ekranında çalışan servislerde en üstte yüksek işlemci kullanan servis gelecektir. Burada görseldeki gibi listeler var ise crond64 bulaşmış ve çalışıyor demektir. 

Görseldeki gibi çalışan dosya /tmp/.ssh/*** klasörü altında.

Klasörü silebilmek için çalışan servisin PID sini not alıyoruz.

İsterseniz htop üzerinde F9 tuşu ve ardından Enter tuşuna basabilir ya da ESC tuşu ile çıkıp kill -9 PID (Görselde: 29806) yazarak servisi öldürüyoruz.

Aşağıdaki komut ile klasörü siliyoruz.

sudo rm -R /tmp/.ssh/

Tekrar htop ileservisleri takip ediyoruz.

 

Her bulaşmış servis için aynı işlemi yapmanız gerekmektedir.

 

 

NOT: Servisi çalıştıran kullanıcının giriş izninin kaldırılması ve/veya parolasının değiştirilmesi gerekmektedir.

Görseldeki gibi kullanıcı vnc olarak gözüküyor. Bu kullanıcı hesabını tanımıyorsanız silinmesi gerekir. Emin değilseniz geçici çözüm giriş iznini kaldırılması ve parolasının değiştirilmesi.

 

Giriş iznini kaldırmak /bin/nologin:

nano /etc/passwd
vnc:x:500:500::/home/vnc:/bin/nologin

Parola değiştirmek:

passwd vnc

 

 

Linux

hakkında diğer konular

Makdos Bilişim Teknolojileri 2015 - 2024