turkey vps

آموزش حذف تروجان XORDDoS در لینوکس

آموزش حذف تروجان XORDDoS در لینوکس
آموزش حذف تروجان XORDDoS در لینوکس
1 سال پیش

یکی از تروجان‌هایی که امروزه به سرورهای لینوکسی حمله‌ور شده است تروجانی است با نام XORDDoS که ما قصد داریم در این مطلب از سری مطالب آموزش لینوکس با آموزش حذف تروجان XORDDoS در لینوکس در خدمت شما بوده تا بتوانید در صورت مبتلا شدن به این تروجان نحوه حذف آن را بیاموزید.

تروجان XORDDoS هیچ کاری با فایل‌ها و اطلاعات شما ندارد و پس از وارد شدن به سرور لینوکسی شما ، سرور شما را به شبکه زامبی مورد نظر خود متصل کرده و همانطور که از نامش پیداست به حملات DDoS می‌پردازد.

حال برای اینکه این تروجان را به صورت دستی از روی سیستم خود حذف کنید باید مراحلی را طی کنید که در ادامه به آن خواهیم پرداخت.

با آموزش حذف تروجان XORDDoS در لینوکس همراه ما باشید.

آموزش حذف تروجان XORDDoS در لینوکس

شناسایی تروجان

قبل از هر اقدامی شما باید مطمئن شوید که آیا این تروجان بر روی سیستم شما وجود دارد یا خیر؟

برای این امر ابتدا از طریق ابزار TOP و وارد کردن دستور آن وضعیت CPU و پروسس‌های آن را مشاهده کنید. اگر پروسسی با نامی عجیب مانند hgmijazsert روی سرور شما با دسترسی Root در حال اجرا بود ، مطمئن باشید که این تروجان به سرور شما رخنه کرده و در حال استفاده از منابع می‌باشد. (تمام اطلاعات این تروجان اعم از PID ، Name و ... را یادداشت کنید ، چون در ادامه به آن نیاز خواهید داشت.)

عموماً در هنگام ورود و استفاده تروجان از سرور ، لود CPU بالا خواهد بود و همواره از قدرت CPU استفاده می‌نماید.

پس از اطمینان از وجود این ترجان بر روی سرور خود ، حال باید به حذف آن بپردازید.

حذف تروجان XORDDoS

1- اولین قدم STOP کردن این پروسس است که باید با استفاده از PID مشاهده شده در TOP این سرویس را از طریق دستور زیر استاپ کنید.

kill -STOP [pid-number]

به جای عبارت pid-number ، شماره pid پروسس را وارد کنید ، مانند دستور زیر

kill -STOP 22598

نکته : به هیچ وجه این پروسس را kill نکنید و آن را نبندید ، در صورت kill شدن این پروسس به صورت کامل ، این پروسس با نامی دیگر شروع به فعالیت خواهد کرد.

2- قدم بعدی این است که به مسیر این تروجان که عموماً در usr/lib/ است رفته و آن را بیابید.

cd /usr/lib
  • بعد از مراجعه به این آدرس و با دستور nano نام فایلی را که در TOP مشاهده کردید را وارد کرده تا محتوای آن را مشاهده نمایید.
  • در این جا باید به نوع کدها و نحوه نوشتار آن توجه کنید و نیازی به تحلیل و یا یادگیری آن نیست و تنها نیاز است نحوه نوشتار و نوع دستورات آن را تا حدی به یاد داشته باشید.
  • حال تمامی فایل‌ها در این بخش را مشاهده کرده وهر کدام که محتوایی مانند محتوای فایل مشاهده داشتند را با دستور زیر حذف نمایید.
rm-f ‘file-name’

نکته : به جای عبارت file-name نام فایل‌های یافته شده را وارد کنید و دقت داشته باشید که فایل‌های دیگر را به اشتباه حذف نکنید.

3- پس از حذف تمامی فایل‌های این تروجان ، حال باید فایل اصلی این تروجان که عموماً با نام libudev.so است را یافته و آن را حذف کنید.

  • این فایل عموماً در دایرکتوری lib/ قرار دارد و در صورت عدم وجود آن در این دایرکتوری ، دستور زیر را وارد کرده تا این فایل پیدا شود.
“find / -type f –name “libudev.so
  • پس از یافتن این فایل ، آن را با دستور rm که در مراحل پیش به آن اشاره شد حذف نمایید.
  • سپس به دلیل قرار گرفتن این فایل در Cronهای سیستم شما باید دسترسی کامل آن را توسط دستور زیر تغییر دهید.
/chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib
  • حال به دایرکتوری etc/ رفته و تک تک دایرکتوری‌های rc0.d ، rc1.d و تا آخرین شماره را چک کنید و تمامی کرون‌های ایجاد شده در تاریخ جدید را بررسی و حذف نمایید.

نکته : برای یافتن آخرین فایل‌های ایجاد شده و همچنین نمایش تاریخ ایجاد آنها از دستور ls - lrt استفاده کنید و سپس هر فایلی را که نام‌های عجیبی دارد را بررسی و حذف نمایید.

به این ترتیب شما از دست این تروجان رها خواهید شد. اما نکته‌ای در این جا وجود دارد این است که عموماً این تروجان توسط حملات BruteForce وارد سیستم شده و احتمالاً پسورد سرور شما در اختیار هکر قرار دارد. بنابراین سریعاً پسورد root سیستم و سایر یوزرهایی که دسترسی Sudo دارند را تغییر داده و یک پسورد بلند و پیچیده انتخاب نمایید.

امیدواریم در پایان از آموزش حذف تروجان XORDDoS در لینوکس استفاده لازم را برده باشید.

کاربر گرامی شما می‌توانید سؤالات مربوط به این آموزش را در بخش کامنت‌ها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید و یا برای رفع مشکلات دیگر در زمینه آموزش‌های آذرآنلاین به بخش Community مراجعه کرده و مشکل خود را در آن مطرح نمایید تا در اسرع وقت کاربران دیگر و کارشناسان به سؤالات شما پاسخ دهند.

3259
A
A