Linux türevleri kurulu sunucularda genelde web sayfası üzerinden upload açığından yararlanılarak yüklenen bir php dosyası sayesinde sunucuda mining işlemi yaptırılmakta. Tabi sunucuya erişim sonrası saldırı amaçlıda kullanılabiliyor.
Kısa anlatmak ve hemen temizliğe geçmek için detaylara daha sonra gireceğiz.
Öncelikle terminalinizi 2 ye bölüp ya da 2 ayrı uygulama ile sunucuya ssh üzerinden bağlantı yapıyoruz.
Bir ekranda kurulum ve tarama yaparken diğerinde zararlı servisleri bulup dosyaları/klasörleri sileceğiz.
Kurulum Ekran:
clamav Kurulum
sudo apt install clamav clamav-daemon -y;Güncel zararlı veritabanını yüklemek
freshclam
Klasör tarama
clamscan -r /etc/clamscan -r /home/clamscan -r /tmp/
Crontab ile otomatik tarama. Her 6 saate bir tara.crontab -e
0 */6 * * * clamscan -r / >/dev/null 2>&1Tarama bittikten sonra zararlı dosyaları silmemiz gerekiyor.
Temizleme Ekranı:
htop uygulamasını kurup çalışan servisleri takip ediyoruz.
sudo apt install -y htop; htophtop ekranında çalışan servislerde en üstte yüksek işlemci kullanan servis gelecektir. Burada görseldeki gibi listeler var ise crond64 bulaşmış ve çalışıyor demektir.
Görseldeki gibi çalışan dosya /tmp/.ssh/*** klasörü altında.
Klasörü silebilmek için çalışan servisin PID sini not alıyoruz.
İsterseniz htop üzerinde F9 tuşu ve ardından Enter tuşuna basabilir ya da ESC tuşu ile çıkıp kill -9 PID (Görselde: 29806) yazarak servisi öldürüyoruz.
Aşağıdaki komut ile klasörü siliyoruz.
sudo rm -R /tmp/.ssh/Tekrar htop ileservisleri takip ediyoruz.
Her bulaşmış servis için aynı işlemi yapmanız gerekmektedir.
NOT: Servisi çalıştıran kullanıcının giriş izninin kaldırılması ve/veya parolasının değiştirilmesi gerekmektedir.
Görseldeki gibi kullanıcı vnc olarak gözüküyor. Bu kullanıcı hesabını tanımıyorsanız silinmesi gerekir. Emin değilseniz geçici çözüm giriş iznini kaldırılması ve parolasının değiştirilmesi.
Giriş iznini kaldırmak /bin/nologin:
nano /etc/passwdvnc:x:500:500::/home/vnc:/bin/nologinParola değiştirmek:
passwd vnc
Linux
hakkında diğer konular