บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Post a reply

Smilies
:icon_plusone: :like: :plusone: :gfb: :-D :) :( :-o 8O :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: :angry: :baa: :biggrin:
View more smilies

BBCode is ON
[img] is ON
[flash] is OFF
[url] is ON
Smilies are ON

Topic review
   

Expand view Topic review: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

by mindphp » 28/09/2017 12:40 pm

วิธีป้องกัน รันไฟล์ ใน /tmp

Code: Select all

  rm -rf /tmp #ลบข้อมูลใน /tmp ออกทั้งหมดป้องกันไฟล์เดิมค้างอยู่
  mkdir /tmp # สร้าง path /tmp ใหม่ 
  mount -t tmpfs -o rw,noexec,nosuid tmpfs /tmp #mount ใหม่โดยไม่ให้ exec ได้ 
  chmod 1777 /tmp
  echo "tmpfs  /tmp  tmpfs  rw,noexec,nosuid    0    0" >> /etc/fstab
  rm -rf /var/tmp
  ln -s /tmp /var/tmp

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

by mindphp » 21/09/2017 4:55 pm

สำหรับ ของ Google cloud ก็อาจเจอปัญหาได้ โดย default เมื่อสร้าง vm ขึ้นมาไฟล์ใน /tmp จะสามารถตั้งให้ Execute ได้
แนะนำให้ปิด
Execute ไฟล์ใน folder ออก ไป /tmp

Re: บันทึกแก้ปัญหา Server โดน malware

by mindphp » 19/04/2017 5:13 am

เสร็จแล้วลองรันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

by mindphp » 19/04/2017 5:11 am

ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
จะได้ผลประมาณนี้

Code: Select all

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
วิธีจัดการคือ block ด้วย #iptable ทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

Code: Select all

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

Code: Select all

rm /root/.ssh/KHK75NEOiq

Code: Select all

rm -rf /tmp/yam
ทำลาย Process ของ malware ด้วย

Code: Select all

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก

Top