یکی از تروجانهایی که امروزه به سرورهای لینوکسی حملهور شده است تروجانی است با نام XORDDoS که ما قصد داریم در این مطلب از سری مطالب آموزش لینوکس با آموزش حذف تروجان XORDDoS در لینوکس در خدمت شما بوده تا بتوانید در صورت مبتلا شدن به این تروجان نحوه حذف آن را بیاموزید.
تروجان XORDDoS هیچ کاری با فایلها و اطلاعات شما ندارد و پس از وارد شدن به سرور لینوکسی شما ، سرور شما را به شبکه زامبی مورد نظر خود متصل کرده و همانطور که از نامش پیداست به حملات DDoS میپردازد.
حال برای اینکه این تروجان را به صورت دستی از روی سیستم خود حذف کنید باید مراحلی را طی کنید که در ادامه به آن خواهیم پرداخت.
با آموزش حذف تروجان XORDDoS در لینوکس همراه ما باشید.
آموزش حذف تروجان XORDDoS در لینوکس
شناسایی تروجان
قبل از هر اقدامی شما باید مطمئن شوید که آیا این تروجان بر روی سیستم شما وجود دارد یا خیر؟
برای این امر ابتدا از طریق ابزار TOP و وارد کردن دستور آن وضعیت CPU و پروسسهای آن را مشاهده کنید. اگر پروسسی با نامی عجیب مانند hgmijazsert روی سرور شما با دسترسی Root در حال اجرا بود ، مطمئن باشید که این تروجان به سرور شما رخنه کرده و در حال استفاده از منابع میباشد. (تمام اطلاعات این تروجان اعم از PID ، Name و ... را یادداشت کنید ، چون در ادامه به آن نیاز خواهید داشت.)
عموماً در هنگام ورود و استفاده تروجان از سرور ، لود CPU بالا خواهد بود و همواره از قدرت CPU استفاده مینماید.
پس از اطمینان از وجود این ترجان بر روی سرور خود ، حال باید به حذف آن بپردازید.
حذف تروجان XORDDoS
1- اولین قدم STOP کردن این پروسس است که باید با استفاده از PID مشاهده شده در TOP این سرویس را از طریق دستور زیر استاپ کنید.
kill -STOP [pid-number]
به جای عبارت pid-number ، شماره pid پروسس را وارد کنید ، مانند دستور زیر
kill -STOP 22598
نکته : به هیچ وجه این پروسس را kill نکنید و آن را نبندید ، در صورت kill شدن این پروسس به صورت کامل ، این پروسس با نامی دیگر شروع به فعالیت خواهد کرد.
2- قدم بعدی این است که به مسیر این تروجان که عموماً در usr/lib/ است رفته و آن را بیابید.
cd /usr/lib
- بعد از مراجعه به این آدرس و با دستور nano نام فایلی را که در TOP مشاهده کردید را وارد کرده تا محتوای آن را مشاهده نمایید.
- در این جا باید به نوع کدها و نحوه نوشتار آن توجه کنید و نیازی به تحلیل و یا یادگیری آن نیست و تنها نیاز است نحوه نوشتار و نوع دستورات آن را تا حدی به یاد داشته باشید.
- حال تمامی فایلها در این بخش را مشاهده کرده وهر کدام که محتوایی مانند محتوای فایل مشاهده داشتند را با دستور زیر حذف نمایید.
rm-f ‘file-name’
نکته : به جای عبارت file-name نام فایلهای یافته شده را وارد کنید و دقت داشته باشید که فایلهای دیگر را به اشتباه حذف نکنید.
3- پس از حذف تمامی فایلهای این تروجان ، حال باید فایل اصلی این تروجان که عموماً با نام libudev.so است را یافته و آن را حذف کنید.
- این فایل عموماً در دایرکتوری lib/ قرار دارد و در صورت عدم وجود آن در این دایرکتوری ، دستور زیر را وارد کرده تا این فایل پیدا شود.
“find / -type f –name “libudev.so
- پس از یافتن این فایل ، آن را با دستور rm که در مراحل پیش به آن اشاره شد حذف نمایید.
- سپس به دلیل قرار گرفتن این فایل در Cronهای سیستم شما باید دسترسی کامل آن را توسط دستور زیر تغییر دهید.
/chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib
- حال به دایرکتوری etc/ رفته و تک تک دایرکتوریهای rc0.d ، rc1.d و تا آخرین شماره را چک کنید و تمامی کرونهای ایجاد شده در تاریخ جدید را بررسی و حذف نمایید.
نکته : برای یافتن آخرین فایلهای ایجاد شده و همچنین نمایش تاریخ ایجاد آنها از دستور ls - lrt استفاده کنید و سپس هر فایلی را که نامهای عجیبی دارد را بررسی و حذف نمایید.
به این ترتیب شما از دست این تروجان رها خواهید شد. اما نکتهای در این جا وجود دارد این است که عموماً این تروجان توسط حملات BruteForce وارد سیستم شده و احتمالاً پسورد سرور شما در اختیار هکر قرار دارد. بنابراین سریعاً پسورد root سیستم و سایر یوزرهایی که دسترسی Sudo دارند را تغییر داده و یک پسورد بلند و پیچیده انتخاب نمایید.
امیدواریم در پایان از آموزش حذف تروجان XORDDoS در لینوکس استفاده لازم را برده باشید.
کاربر گرامی شما میتوانید سؤالات مربوط به این آموزش را در بخش کامنتها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید و یا برای رفع مشکلات دیگر در زمینه آموزشهای آذرآنلاین به بخش Community مراجعه کرده و مشکل خود را در آن مطرح نمایید تا در اسرع وقت کاربران دیگر و کارشناسان به سؤالات شما پاسخ دهند.