บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

ตอบกระทู้

รูปแสดงอารมณ์
:icon_plusone: :like: :plusone: :gfb: :-D :) :( :-o 8O :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: :angry: :baa: :biggrin:
รูปแสดงอารมณ์อื่นๆ

BBCode เปิด
[img] เปิด
[url] เปิด
[Smile icon] เปิด

กระทู้แนะนำ
   

มุมมองที่ขยายได้ กระทู้แนะนำ: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โดย mindphp » 28/09/2017 12:40 pm

วิธีป้องกัน รันไฟล์ ใน /tmp

โค้ด: เลือกทั้งหมด

    rm -rf /tmp  #ลบข้อมูลใน /tmp ออกทั้งหมดป้องกันไฟล์เดิมค้างอยู่
    mkdir /tmp  # สร้าง path /tmp ใหม่ 
    mount -t tmpfs -o rw,noexec,nosuid tmpfs /tmp  #mount  ใหม่โดยไม่ให้ exec ได้ 
    chmod 1777 /tmp
    echo "tmpfs   /tmp    tmpfs   rw,noexec,nosuid        0       0" >> /etc/fstab
    rm -rf /var/tmp
    ln -s /tmp /var/tmp

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โดย mindphp » 21/09/2017 4:55 pm

สำหรับ ของ Google cloud ก็อาจเจอปัญหาได้ โดย default เมื่อสร้าง vm ขึ้นมาไฟล์ใน /tmp จะสามารถตั้งให้ Execute ได้
แนะนำให้ปิด
Execute ไฟล์ใน folder ออก ไป /tmp

Re: บันทึกแก้ปัญหา Server โดน malware

โดย mindphp » 19/04/2017 5:13 am

เสร็จแล้วลองรันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head
เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โดย mindphp » 19/04/2017 5:11 am

ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head
จะได้ผลประมาณนี้

โค้ด: เลือกทั้งหมด

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
วิธีจัดการคือ block ด้วย #iptable ทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

โค้ด: เลือกทั้งหมด

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

โค้ด: เลือกทั้งหมด

rm /root/.ssh/KHK75NEOiq

โค้ด: เลือกทั้งหมด

rm -rf /tmp/yam
ทำลาย Process ของ malware ด้วย

โค้ด: เลือกทั้งหมด

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก

ข้างบน