เว็บบอร์ด PHP เว็บส่งเสริมการเรียนรู้ Hosting CRM ERP Server Programming ถาม-ตอบปัญหา

เว็บบอร์ด PHP ใช้งานจริงใน ธุรกิจ ด้วยเทคโนโลยี Ajax HTML5 Framework SQL CMS CRM ERP Hosting
https://www.mindphp.com/forums/

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

https://www.mindphp.com/forums/viewtopic.php?f=27&t=39406

Page 1 of 1

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Posted: 19/04/2017 5:11 am
by mindphp
ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
จะได้ผลประมาณนี้

Code: Select all

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
วิธีจัดการคือ block ด้วย #iptable ทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

Code: Select all

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

Code: Select all

rm /root/.ssh/KHK75NEOiq

Code: Select all

rm -rf /tmp/yam
ทำลาย Process ของ malware ด้วย

Code: Select all

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก

Re: บันทึกแก้ปัญหา Server โดน malware

Posted: 19/04/2017 5:13 am
by mindphp
เสร็จแล้วลองรันคำสั่ง

Code: Select all

ps -eo pcpu,args --sort=-%cpu | head
เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Posted: 21/09/2017 4:55 pm
by mindphp
สำหรับ ของ Google cloud ก็อาจเจอปัญหาได้ โดย default เมื่อสร้าง vm ขึ้นมาไฟล์ใน /tmp จะสามารถตั้งให้ Execute ได้
แนะนำให้ปิด
Execute ไฟล์ใน folder ออก ไป /tmp

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

Posted: 28/09/2017 12:40 pm
by mindphp
วิธีป้องกัน รันไฟล์ ใน /tmp

Code: Select all

    rm -rf /tmp  #ลบข้อมูลใน /tmp ออกทั้งหมดป้องกันไฟล์เดิมค้างอยู่
    mkdir /tmp  # สร้าง path /tmp ใหม่ 
    mount -t tmpfs -o rw,noexec,nosuid tmpfs /tmp  #mount  ใหม่โดยไม่ให้ exec ได้ 
    chmod 1777 /tmp
    echo "tmpfs   /tmp    tmpfs   rw,noexec,nosuid        0       0" >> /etc/fstab
    rm -rf /var/tmp
    ln -s /tmp /var/tmp
All times are UTC+07:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited

Thai language by Mindphp.com & phpBBThailand.com