หน้า 1 จากทั้งหมด 1

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โพสต์แล้ว: 19/04/2017 5:11 am
โดย mindphp
ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head


จะได้ผลประมาณนี้

โค้ด: เลือกทั้งหมด

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x


วิธีจัดการคือ block ด้วย #iptable ทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

โค้ด: เลือกทั้งหมด

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

โค้ด: เลือกทั้งหมด

rm /root/.ssh/KHK75NEOiq

โค้ด: เลือกทั้งหมด

rm -rf /tmp/yam


ทำลาย Process ของ malware ด้วย

โค้ด: เลือกทั้งหมด

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก

Re: บันทึกแก้ปัญหา Server โดน malware

โพสต์แล้ว: 19/04/2017 5:13 am
โดย mindphp
เสร็จแล้วลองรันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head

เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โพสต์แล้ว: 21/09/2017 4:55 pm
โดย mindphp
สำหรับ ของ Google cloud ก็อาจเจอปัญหาได้ โดย default เมื่อสร้าง vm ขึ้นมาไฟล์ใน /tmp จะสามารถตั้งให้ Execute ได้
แนะนำให้ปิด
Execute ไฟล์ใน folder ออก ไป /tmp

Re: บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โพสต์แล้ว: 28/09/2017 12:40 pm
โดย mindphp
วิธีป้องกัน รันไฟล์ ใน /tmp

โค้ด: เลือกทั้งหมด

    rm -rf /tmp  #ลบข้อมูลใน /tmp ออกทั้งหมดป้องกันไฟล์เดิมค้างอยู่
    mkdir /tmp  # สร้าง path /tmp ใหม่
    mount -t tmpfs -o rw,noexec,nosuid tmpfs /tmp  #mount  ใหม่โดยไม่ให้ exec ได้
    chmod 1777 /tmp
    echo "tmpfs   /tmp    tmpfs   rw,noexec,nosuid        0       0" >> /etc/fstab
    rm -rf /var/tmp
    ln -s /tmp /var/tmp