บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

แชร์ความรู้ Linux Ubuntu Web Server บทความ การ config server Linux FreeBSD Apache
การติดตั้ง XAMPP Mysql PHP ใครต้องการแชร์ความรู้เรื่องต่างๆ เหล่านี้ให้ ท่านหรืออื่น โพสที่หมวดนี้ได้

Moderator: mindphp, ผู้ดูแลกระดาน

ภาพประจำตัวสมาชิก
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
โพสต์: 15516
ลงทะเบียนเมื่อ: 22/09/2008 6:18 pm
ติดต่อ:

บันทึกแก้ปัญหา Server โดน malware บน CentOS และ Ubuntu

โพสต์โดย mindphp » 19/04/2017 5:11 am

ซึ่ง #malware ตัวนี้ระบาดหลักทั้งที่ Cloud ของ amazon อย่าง AWS EC2 หรือ VPS

อาการเครื่อง Server ที่เจอ จะมีการใช้งาน CPU สูงอยู่ตลอดเวลา

เมือเช็ค Process ดูก็จะพบว่ามาจาก command ไหน

วิธีเช็ค รันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head


จะได้ผลประมาณนี้

โค้ด: เลือกทั้งหมด

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x


วิธีจัดการคือ block ด้วย #iptableทั้งขาเข้าและขาออกจาก xmr.crypto-pool.fr

โค้ด: เลือกทั้งหมด

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

เสร็จแล้วลบไฟล์ที่ต้องสงสัย เช่น

โค้ด: เลือกทั้งหมด

rm /root/.ssh/KHK75NEOiq

โค้ด: เลือกทั้งหมด

rm -rf /tmp/yam


ทำลาย Process ของ malware ด้วย

โค้ด: เลือกทั้งหมด

pkill ชื่อmalware ที่เจอขั้นขั้นตอนแรก
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: viewforum.php?f=29
รับอบรม และพัฒนาระบบ: viewtopic.php?f=6&t=2042

ภาพประจำตัวสมาชิก
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
โพสต์: 15516
ลงทะเบียนเมื่อ: 22/09/2008 6:18 pm
ติดต่อ:

Re: บันทึกแก้ปัญหา Server โดน malware

โพสต์โดย mindphp » 19/04/2017 5:13 am

เสร็จแล้วลองรันคำสั่ง

โค้ด: เลือกทั้งหมด

ps -eo pcpu,args --sort=-%cpu | head

เพื่อเช็ค Process ต่างๆ บน Server อีกรอบ
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: viewforum.php?f=29
รับอบรม และพัฒนาระบบ: viewtopic.php?f=6&t=2042


  • Similar Topics
    ตอบกลับ
    แสดง
    โพสต์ล่าสุด

ย้อนกลับไปยัง

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: 3 และ บุคคลทั่วไป 0 ท่าน