HERAKLES Otomatik Avlı kalıcı sunucu. 19 Haziran'da açılıyor. Atius & Wizard güvencesiyle hemen kayıt ol, ön kayıt ödülleri aktif. HEMEN TIKLA!
Linux türevleri kurulu sunucularda genelde web sayfası üzerinden upload açığından yararlanılarak yüklenen bir php dosyası sayesinde sunucuda mining işlemi yaptırılmakta. Tabi sunucuya erişim sonrası saldırı amaçlıda kullanılabiliyor.
Kısa anlatmak ve hemen temizliğe geçmek için detaylara daha sonra gireceğiz.
Öncelikle terminalinizi 2 ye bölüp ya da 2 ayrı uygulama ile sunucuya ssh üzerinden bağlantı yapıyoruz.
Bir ekranda kurulum ve tarama yaparken diğerinde zararlı servisleri bulup dosyaları/klasörleri sileceğiz.
Kurulum Ekran:
clamav Kurulum
Güncel zararlı veritabanını yüklemek
Klasör tarama
Crontab ile otomatik tarama. Her 6 saate bir tara.
Tarama bittikten sonra zararlı dosyaları silmemiz gerekiyor.
Temizleme Ekranı:
htop uygulamasını kurup çalışan servisleri takip ediyoruz.
htop ekranında çalışan servislerde en üstte yüksek işlemci kullanan servis gelecektir. Burada görseldeki gibi listeler var ise crond64 bulaşmış ve çalışıyor demektir.
Görseldeki gibi çalışan dosya /tmp/.ssh/*** klasörü altında.
Klasörü silebilmek için çalışan servisin PID sini not alıyoruz.
İsterseniz htop üzerinde F9 tuşu ve ardından Enter tuşuna basabilir ya da ESC tuşu ile çıkıp kill -9 PID (Görselde: 29806) yazarak servisi öldürüyoruz.
Aşağıdaki komut ile klasörü siliyoruz.
Tekrar htop ileservisleri takip ediyoruz.
Her bulaşmış servis için aynı işlemi yapmanız gerekmektedir.
NOT: Servisi çalıştıran kullanıcının giriş izninin kaldırılması ve/veya parolasının değiştirilmesi gerekmektedir.
Görseldeki gibi kullanıcı vnc olarak gözüküyor. Bu kullanıcı hesabını tanımıyorsanız silinmesi gerekir. Emin değilseniz geçici çözüm giriş iznini kaldırılması ve parolasının değiştirilmesi.
Giriş iznini kaldırmak /bin/nologin:
Parola değiştirmek:
Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)
Benzer konular
