XOR DDoS چیست؟
XOR DDoS یک تروجان است که سیستم های لینوکس را آلوده می کند و به آنها دستور می دهد حملات DDoS را به صورت تقاضا توسط یک مهاجم از راه دور انجام دهند. در ابتدا، مهاجمان با حملات بی رحمانه دسترسی پیدا می کنند تا رمز عبور sshرا در دستگاه لینوکس کشف کنند. پس از ورود به سیستم ، مهاجمان از امتیازات اصلی برای اجرای یک اسکریپت Bash استفاده می کنند که دودویی مخرب را بارگیری و اجرا می کند.
شناسایی تروجان :
قبل از انجام هرکاری باید اطمینان حاصل کنید که تروجان در سیستم شما وجود دارد. برای انجام این کار، ابتدا وضعیت cpu و پردازش ها را از طریق ابزارtop مشاهده کنید. اگر فرایندی با نام عجیب و غریب مانند hgmijazset در حال اجرا روی سرور شما با دسترسی root می باشد، احتمال زیادی وجود دارد که این بد افزار ها سرور شما را آلوده کرده و از منابع سرور شما استفاده می کند (به تمام اطلاعات این تروجان از جمله PID و نام و غیره توجه کنید زیرا بعدا به آن احتیاج پیدا خواهید کرد)
به طور کلی، هنگامی که یک سرور لینوکس به بدافزار آلوده شود، بار cpu زیاد خواهد بود و منابع آن همیشه تقریبا به طور کامل مورد استفاده قرار می گیرد.
پس از طمینان از وجود تروجان روی سرور مجازی و یا سرور اختصاصی خود، باید مراحل زیر را برای حذف آن دنبال کنید.
تروجان XoRDDos را حذف کنید :
مرحله اول متوقف کردن این فرایند است که با استفاده از PID مشاهده شده در TOP انجام می شود.
[kill -STOP [pid-number
بجای pid-number شماره pid مربوط به پروسس را وارد کنید مانند دستور زیر
kill -STOP 22598
توجه : این پروسس را به صورت کامل kill نکنید زیرا با نام دیگر شروع به فعالیت خواهد کرد.
قدم بعدی رفتن به مسیر این تروجان است که معمولا در مسیر زیر یافته می شود.
cd / usr / lib
پس از مراجعه به این آدرس، نام پرونده ای را که می بینید در دستور nano وارد کنید تا محتوای آن را مشاهده کنید.
nano file-name
در اینجا باید به نوع کد و روش نوشتن آن توجه کنید (نیازی به تجزیه و تحلیل و یادگیری آن نیست، فقط نحوه ی نگارش و نوع دستورات را بخاطر بسپارید.) اکنون تمام پرونده های موجود در این بخش را بررسی کنید. و هر کدام داری سبک کد مشابه است به عنوان تروجان با دستور زیر حذف شود.
‘rm-f ‘file-name
لطفا توجه داشته باشید: بجایی file –name نام پرونده های که می یابید وارد کنید و مراقب باشید که سایر پرونده ها به طور تصادفی پاک نشوند.
پس از حذف همه پرونده ها از این فهرست، اکنون باید فایل اصلی تروجان را که معمولا libudev.so نامیده می شود، پیدا کرده و حذف کنید (همیشه این طور نیست). این پرونده به طور کلی در لیست / دایرکتوری قرار دارد، اما در صورت عدم وجود برای یافتن آن دستور زیر را وارد کنید.
Find / -type f -name libudev.so
پس از پیدا کردن این پرونده آن را با دستور rm –f که در مراحل قبلی به آن اشاره شد، حذف کنید. سپس به دلیل قرار گرفتن این دستور در cron سیستم ، شما باید دسترسی کامل آن را با استفاده از دستور زیر تغییر دهید.
/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib
اکنون به پوشه /etc برید و همه پوشه ها را بررسی کنید (rc1.d , rc0.d و غیره ) و تمام crons های تازه ایجاد شده را بررسی کنید.
نکته : برای پیدا کردن جدیدترین فایلها ایجاد شده و نمایش تاریخ ایجاد آنها، از دستور LS-LRT استفاده کنید
اکنون باید هر پرونده ای را با نام های عجیب و غریب که اخیرا ایجاد شده اند بررسی و حذف کنید.
به این ترتیب کاملا از شر تروجان خلاص می شوید معمولا تروجان ها از طریق حملات BRUT FORCE در سرور شما مستقر خواهند شد بنابراین اگر این تروجان ها در سرور شما وجود داشته باشند احتمال اینکه یک یا همه رمزهای شما به خطر افتاده باشد وجود دارد. ما اکیدا به شما پیشنهاد می کنیم که کلمه عبور ها را برای سیستم روت و سایر کاربرانی که به سرور دسترسی دارند تغییر دهید.
لطفا اطمینان حاصل کنید که کلمات عبور جدید، طولانی، پیچیده هستند و شامل ترکیبی از حروف، اعداد و کارکترهای خاص هستند.