mannaxxx 1
mannaxxx
Agora Metin2 1
Agora Metin2
Mt2Hizmet 1
Mt2Hizmet
berkmenoo 1
berkmenoo
kralhakan2009 1
kralhakan2009
Vahsi Uzman 1
Vahsi Uzman
farkmt2official 1
farkmt2official
Hikaye Ekle

Altın Konu Linux crond64 MultiCoinMiner malware temizleme (Rehber)

Ayyıldız2 | 2008 TR Yapısı • 1-99 Orta Emek Destan • Oto Avsız • 10 Temmuz 21:00 HEMEN TIKLA!

linux.png



remove-linux-ubuntu-crond64-multicoinminer.png


Linux türevleri kurulu sunucularda genelde web sayfası üzerinden upload açığından yararlanılarak yüklenen bir php dosyası sayesinde sunucuda mining işlemi yaptırılmakta. Tabi sunucuya erişim sonrası saldırı amaçlıda kullanılabiliyor.

Kısa anlatmak ve hemen temizliğe geçmek için detaylara daha sonra gireceğiz.

Öncelikle terminalinizi 2 ye bölüp ya da 2 ayrı uygulama ile sunucuya ssh üzerinden bağlantı yapıyoruz.

Bir ekranda kurulum ve tarama yaparken diğerinde zararlı servisleri bulup dosyaları/klasörleri sileceğiz.

Kurulum Ekran:

clamav
Kurulum

sudo apt install clamav clamav-daemon -y;​

Güncel zararlı veritabanını yüklemek

Klasör tarama
clamscan -r /etc/
clamscan -r /home/
clamscan -r /tmp/​

Crontab ile otomatik tarama. Her 6 saate bir tara.
crontab -e
0 */6 * * * clamscan -r / >/dev/null 2>&1​


Tarama bittikten sonra zararlı dosyaları silmemiz gerekiyor.

Temizleme Ekranı:

htop uygulamasını kurup çalışan servisleri takip ediyoruz.

sudo apt install -y htop; htop​

htop ekranında çalışan servislerde en üstte yüksek işlemci kullanan servis gelecektir. Burada görseldeki gibi listeler var ise crond64 bulaşmış ve çalışıyor demektir.

Görseldeki gibi çalışan dosya /tmp/.ssh/*** klasörü altında.

Klasörü silebilmek için çalışan servisin PID sini not alıyoruz.

İsterseniz htop üzerinde F9 tuşu ve ardından Enter tuşuna basabilir ya da ESC tuşu ile çıkıp kill -9 PID (Görselde: 29806) yazarak servisi öldürüyoruz.

Aşağıdaki komut ile klasörü siliyoruz.
sudo rm -R /tmp/.ssh/​

Tekrar htop ileservisleri takip ediyoruz.

Her bulaşmış servis için aynı işlemi yapmanız gerekmektedir.


NOT: Servisi çalıştıran kullanıcının giriş izninin kaldırılması ve/veya parolasının değiştirilmesi gerekmektedir.

Görseldeki gibi kullanıcı vnc olarak gözüküyor. Bu kullanıcı hesabını tanımıyorsanız silinmesi gerekir. Emin değilseniz geçici çözüm giriş iznini kaldırılması ve parolasının değiştirilmesi.


Giriş iznini kaldırmak /bin/nologin:
nano /etc/passwd​
vnc:x:500:500::/home/vnc:/bin/nologin

Parola değiştirmek:
 

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Geri
Üst