บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

แชร์ความรู้ Linux Ubuntu Web Server บทความ การ config server Linux FreeBSD Apache
การติดตั้ง XAMPP Mysql PHP ใครต้องการแชร์ความรู้เรื่องต่างๆ เหล่านี้ให้ ท่านหรืออื่น โพสที่หมวดนี้ได้

Moderators: mindphp, ผู้ดูแลกระดาน

User avatar
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
Posts: 24225
Joined: 22/09/2008 6:18 pm
Contact:

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Post by mindphp »

ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
จะได้ผลประมาณนี้

Code: Select all

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
วิธีจัดการคือ block ด้วย #iptable ทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

Code: Select all

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

Code: Select all

rm /root/.ssh/KHK75NEOiq

Code: Select all

rm -rf /tmp/yam
ทำลาย Process ของ malware ด้วย

Code: Select all

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042

User avatar
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
Posts: 24225
Joined: 22/09/2008 6:18 pm
Contact:

Re: บันทึกแก้ปัญหา Server โดน malware

Post by mindphp »

เสร็จแล้วลองรันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042

User avatar
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
Posts: 24225
Joined: 22/09/2008 6:18 pm
Contact:

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Post by mindphp »

สำหรับ ของ Google cloud ก็อาจเจอปัญหาได้ โดย default เมื่อสร้าง vm ขึ้นมาไฟล์ใน /tmp จะสามารถตั้งให้ Execute ได้
แนะนำให้ปิด
Execute ไฟล์ใน folder ออก ไป /tmp
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042

User avatar
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
Posts: 24225
Joined: 22/09/2008 6:18 pm
Contact:

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Post by mindphp »

วิธีป้องกัน รันไฟล์ ใน /tmp

Code: Select all

    rm -rf /tmp  #ลบข้อมูลใน /tmp ออกทั้งหมดป้องกันไฟล์เดิมค้างอยู่
    mkdir /tmp  # สร้าง path /tmp ใหม่ 
    mount -t tmpfs -o rw,noexec,nosuid tmpfs /tmp  #mount  ใหม่โดยไม่ให้ exec ได้ 
    chmod 1777 /tmp
    echo "tmpfs   /tmp    tmpfs   rw,noexec,nosuid        0       0" >> /etc/fstab
    rm -rf /var/tmp
    ln -s /tmp /var/tmp
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: https://www.mindphp.com/forums/viewforum.php?f=29
รับอบรม และพัฒนาระบบ: https://www.mindphp.com/forums/viewtopic.php?f=6&t=2042

Post Reply
  • Similar Topics
    Replies
    Views
    Last post

Return to “Linux - Web Server”

Who is online

Users browsing this forum: No registered users and 4 guests