لینوکس

چگونه ویروس تروجان XORDDoS موجود در سیستم لینوکس را حذف کنیم؟

شناسایی و حذف ویروس تروجان XORDDoS یکی ازمعضلات برنامه نویسان می باشد این ویروس موجب حملات DDoS در لینوکس میشود.

در انجام این کار باید مراقب باشیم با دستور اشتباهی باعث ترویج آن در کل سیستم نشویم.

درضمن این راهم بدانیم که ویروس تروجان XORDDoS کاری بافایل ها و داده هایتان ندارد،بلکه بیشتر سیستم را موردحمله قرارمیدهد.

در واقع سرور سیستم شما را به شبکه ی نا منظم خود متصل کرده و موجب تشکیل حملات DDos در سیستم شما میشود. تولید این ویروس و بد افزار توسط هکر ها و دزدان منابع برای استخراج و حملات شبکه ای صورت میگیرد.

در این آموزش قصد داریم شما را با حذف ویروس تروجان XORDDoS آشنا کنیم با سایت دید بهتر همراه باشید.

حذف ویروس تروجان XORDDoS در سیستم عامل لینوکس

برای حذف ویروس تروجان XORDDoS باید مراحلی را جزء به جزء طی کنیم.

تروجان ها را شناسایی کنید

برای شناسایی تروجان ها در سیستم عامل لینوکس ابتدا با کمک ابزار TOP و دستور آن اطلاعات CPU و پروسس ها را بررسی نمایید. اگر پروسس مشکوکی با نام عجیب مثل hgmijazsert با سطح دسترسی Root در سرور سیستم شما وجود داشته و در حال اجرا است. در این صورت منابع سیستم مورد استفاده و حمله قرار گرفته و تروجان در آن نفوذ کرده است. تروجان بیشتر CPU را مورد هدف قرار میدهد و از قدرت آن استفاده میکند.

بعد از شناسایی نوبت حذف تروجان است

بعد از شناسایی ویروس تروجان در لینوکس نوبت حذف آن میرسد. برای این کار ابتدا پروسس مورد نظر که دارای pid در نمایش اطلاعات CPU است را شناسایی کرده و به صورت فرمول زیر به کمک دستور kill و پارامتر STOP- تروجان را متوقف میکنیم. توجه داشته باشید که این دستور بدون پارامتر STOP- نباشد چون این کار باعث از سرگیری دوباره ی فعالیت تروجان میشود.

فرمول دستور توقف تروجان :

kill -STOP [pid-number]

pid-number همان شماره pid پروسس موجود در اطلاعات CPU است که بدین شکل وارد میکنیم :

kill -STOP 22598

در قدم بعدی محل رخنه ی تروجان را پیدا کنید که عموماََ usr/lib/ میباشد.

cd /usr/lib

محتوای فایل پیدا شده را با دستور nano در ویرایشگر آن بررسی کنید و موارد مشابه را به کمک دستور زیر پاک کنید.

rm -f 'file-name'

به جای file-name فایلی که مربوط به تروجان است را پاک کرده و مواظب باشید که فایل های دیگر را پاک نکنید.

حال بعد از پاک کردن شاخه های آن نوبت فایل اصلی که عموماََ به نام libudev.so است را حذف کنید.

این فایل اکثراََ در مسیر lib/ قرار میگیرد.

در صورت وجود نداشتن فایل اصلی تروجان در این دایرکتوری، میتوانید با دستور زیر جستجو در آن را پیدا کنید.

find / -type f –name "libudev.so

سپس آن را طبق آموزش remove بالا حذف کنید.

این فایل حذف شده در Cron های سیستم شما باید از دسترسی خارج شود به کمک دستور زیر:

chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib

در دایرکتوری etc/ و تمامی دایرکتوری‌های rc0.d ، rc1.d را چک کنید و تمامی Cron های ایجاد شده ی مشکوک در تاریخ جدید را بررسی کرده و حذف کنید.

توجه: تروجان با عنوان حملات BruteForce داخل سیستم شده و پسوردها وداده های حساس سرور سیستم شما را در اختیار هکرها قرار میدهد.بعد از مراحل حذف تروجان ها سعی کنید سریعاً در تغییر پسورد root سیستم و سایر یوزرهایی که دسترسی Sudo دارند اقدام کنید.

آرزوی تو دستور توست
برچسب ها
نمایش بیشتر

صمد حسن پور

کارشناس علوم رایانه ای

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا