چگونه بدافزار XORDDOS را از سرور لینوکس حذف کنیم؟

بدافزار XORDDOS، یکی از تروجان‌های مخرب و پرطرفدار است که به سیستم‌های لینوکس حملات وارد می‌کند و باعث اشغال منابع سرور و ایجاد مشکلات امنیتی و عملکردی می‌شود. به صورت ساده تر بدافزار XORDDOS یک نوع حمله DDoS است که با استفاده از الگوریتم XOR شبکه‌ها و سرورها را مورد حمله قرار می‌دهد. در این مقاله، به بررسی روش‌های حذف بدافزار XORDDOS از سرور لینوکس خواهیم پرداخت. از اصولی ساده گرفته تا راهکارهای پیچیده‌تر، ما راهنمایی‌ها و تکنیک‌هایی را ارائه می‌دهیم که به شما کمک می‌کنند تا از سرور خود تا حد امکان در مقابل این تروجان مخرب محافظت کنید و در صورت آلوده شدن، آن را به طور کامل از سیستم‌تان از بین ببرید. همچنین، توضیح خواهیم داد که چگونه با اقدامات پیشگیرانه، مانع ورود این تروجان به سرور لینوکس خود شوید و از پیشرفت آن جلوگیری کنید. با ما همراه باشید و نگاهی به این بدافزار مخرب بیاندازیم و به شما راهنمایی کامل برای حفاظت از سرورتان را ارائه دهیم.

برای حذف بدافزار XORDDOS از سرور لینوکس ابتدا، فرآیند‌ها و اتصالات مشکوک به سرور را شناسایی و به صورت فوری قطع کنید. سپس با اجرای اسکن آنتی‌ویروس و ابزارهای امنیتی، فایل‌های مشکوک را تشخیص داده و آن‌ها را به عنوان بدافزار XORDDOS شناسایی کنید. بعد از شناسایی بدافزار، باید فایل‌ها و پروسه‌های مشکوک را حذف کرده و نرم‌افزارها و سیستم عامل را به‌روزرسانی کنید. این کار باعث بستن ضعف‌های امنیتی و جلوگیری از بازگشت بدافزار می‌شود. همچنین، بهتر است پس از انجام این مراحل، اقدامات امنیتی دیگری نیز برای محافظت بهتر از سرور لینوکس انجام دهید.

اما پیش از هرچیز باید این نکته را ذکر کنیم که مهم ترین نکته برای پیشگیری از آلوده شدن سرورتان به بدافزار XORDDOS این است که خرید سرور مجازی لینوکس را از سایت ما انجام دهید؛ چرا که سرور مجازی های لینوکس ما امنیت بالایی دارند و ما این را تضمین می کنیم.

آموزش حذف تروجان XoRDDos از سرور لینوکس

حذف تروجان XoRDDos از سرور لینوکس ممکن است چالش‌برانگیز به نظر برسد، اما با انجام مراحل زیر می‌توانید به‌راحتی سیستمتان را از این بدافزار مخرب پاک کنید:

مرحله اول: بررسی وضعیت CPU با دستور TOP

برای اطمینان از وجود تروجان XoRDDos در سیستم خود، از دستور TOP استفاده کنید و وضعیت CPU را بررسی کنید. اگر فرایندی با نام عجیب و غریبی مانند “hgmijazset” در حال اجرا باشد، احتمالاً تروجان در سیستم شما وجود دارد. شماره PID (Process ID) این فرایند را یادداشت کنید.

مرحله دوم: متوقف کردن فرایند با دستور Kill

از PID Number که در مرحله قبل یافته‌اید، برای متوقف کردن فرایند استفاده کنید. دقت کنید که این اقدام تروجان را به‌طور کامل حذف نمی‌کند، زیرا ممکن است مجدداً با نام‌های دیگری شروع به کار کند. برای متوقف کردن فرایند، از دستور زیر استفاده کنید:

kill -STOP [pid-number]

مرحله سوم: محتویات پرونده‌ها را با دستور nano بررسی کنید

حالا نیاز است مسیر تروجان XoRDDos را پیدا کنید. تروجان معمولاً در مسیر usr/lib/ قرار دارد. ابتدا به این مسیر بروید و با دستور nano محتوای فایل‌ها را بررسی کنید:

cd /usr/lib nano file-name

مرحله چهارم: حذف پرونده‌ها با دستور RM

در این مرحله، تمام پرونده‌هایی که دارای کدهای مشابه و مشکوک هستند را با استفاده از دستور زیر حذف کنید:

rm -f 'file-name'

دقت داشته باشید که به‌جای “file-name”، نام پرونده‌هایی که حاوی کدهای مشکوک هستند را وارد کنید. همچنین، حتماً مطمئن شوید که پرونده‌های مهم را به‌اشتباه پاک نمی‌کنید.

مرحله پنجم: شناسایی فایل اصلی بدافزار XORDDOS

پس از انجام مراحل قبلی برای حذف بدافزار XORDDOS از سرور لینوکس، حالا باید به دنبال فایل اصلی بدافزار با نام libudev.so یا نام دیگری که ممکن است داشته باشد، بگردید. برای این کار، می‌توانید از دستور زیر استفاده کنید:

find / -type f -name libudev.so

این دستور به شما کمک می‌کند تا فایل libudev.so را در تمام سیستم فایل لینوکس جستجو کنید. توجه داشته باشید که اسم فایل اصلی ممکن است تغییر کرده باشد و ممکن است با نام دیگری نیز ظاهر شود.

مرحله ششم: حذف بدافزار XORDDOS از سرور لینوکس و تغییر دادن دسترسی با دستور corn

پس از شناسایی فایل اصلی بدافزار XORDDOS، می‌توانید آن را با استفاده از دستور زیر حذف کنید و همچنین دسترسی به آن را تغییر دهید:

/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib

مرحله هفتم: بررسی و حذف فایل‌ها

برای حذف تروجان XORDDoS از سرور لینوکس، مراحل زیر را دنبال کنید:

وارد پوشه etc/ شوید:

فایل‌ها و cron‌های جدید با نام‌های عجیب‌ و غریب را بررسی کنید و آن‌ها را حذف کنید:

(توجه داشته باشید که filename را با نام فایل‌ها و cron‌های شما جایگزین کنید.)

بعد از اطمینان از حذف تروجان XORDDoS از سرور، به تغییر رمزهای دسترسی به Root و ورود کاربران بپردازید.

با انجام این مراحل، تروجان XORDDoS به‌طور کامل از سرور شما حذف می‌شود و رمزهای دسترسی تغییر داده می‌شوند تا احتمال دسترسی تروجان به سیستم به‌ حداقل برسد. لازم به ذکر است که اطمینان حاصل کنید که همه تغییرات انجام شده با دقت و مطابقت با نیازهای سیستم شما باشد. همچنین ممکن است برخی از مراحل نیاز به دسترسی روت (superuser) داشته باشد که باید با احتیاط و دقت انجام شود.

سرورهای لینوکس چگونه به بدافزارXORDDOS آلوده می شوند؟

تروجان XORDDOS یک بدافزار مخرب است که به واسطه SSH به سرورهای لینوکس نفوذ می‌کند و تلاش می‌کند دسترسی به روت را کسب کند. در این قسمت نحوه حذف این تروجان از سرور لینوکس را مورد بررسی قرار می‌دهیم. بدافزار XORDDOS به دو روش حمله به سرور اقدام می‌کند که به طور خلاصه در زیر توضیح داده‌ایم:

۱. کپی کردن فایل مخرب ELF و ذخیره آن در مسیر موقت /dev/shm و اجرای فایل

۲. اجرای اسکریپت bash توسط بدافزار XORDDOS

برای انجام مراحل حذف بدافزار XORDDOS از سرور لینوکس، ابتدا با دو روش مورد آلودگی سرور آشنا می‌شویم:

روش اول: کپی کردن فایل مخرب ELF و ذخیره آن در مسیر موقت dev/shm/ و اجرای فایل

در روش اول فایل هایی که در dev/shm/ نوشته شده اند، برای انجام شدن عملیات، مخفی می شوند. فرایند این روش را در زیر توضیح داده ایم:

۱. شناسایی کردن یکی از دایرکتوری‌های نوشتنی

به‌طور معمول، بدافزار XORDDOS فایل‌های خود را در مسیرهای زیر ذخیره می‌کند و سپس اجرا می‌کند:

/bin /home /root /tmp /usr

بدافزار XORDDOS با شناسایی یکی از این مسیرها، اقدام به نوشتن خود در آن‌ها می‌کند.

۲. تغییر به یکی از دایرکتوری‌های شناسایی‌شده:

هنگام شناسایی یکی از دایرکتوری‌های مورد نظر، بدافزار به طور خودکار به آن دایرکتوری تغییر مسیر می‌دهد. سپس فرآیند دانلود فایل مخرب ELF را از دامنه‌ای خارجی شروع می‌کند.

۳. ذخیره فایل:

با استفاده از دستور curl، فایل مخرب موجود در آدرس hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt را دانلود می‌کند و آن را با نام ygljglkjgfg0 ذخیره می‌کند.

۴. تغییر حالت فایل به‌صورت قابل اجرا:

بعد از ذخیره فایل مخرب، بدافزار از دستور chmod استفاده می‌کند تا فایل ذخیره‌شده را به حالت اجرایی (executable) تبدیل کند.

۵. اجرای فایل ELF:

بدافزار XORDDOS فایل ELF مخرب را در حافظه موقت dev/shm/ کپی کرده و سپس آن را اجرا می‌کند.

۶. تغییر نام ویجت‌های باینری:

در این مرحله، نام و محل قرارگیری ویجت‌های باینری تغییر می‌کند تا در هنگام استفاده بدافزار از ویجت‌ها، تشخیص داده‌شدن جلوگیری شود. برای مثال، نام‌ ویجت wget به good تغییر می‌کند و به مسیر‌های جدید زیر منتقل می‌شود:

mv /usr/bin/wget /usr/bin/good

mv /bin/wget /bin/good

۷. دانلود مجدد فایل ELF:

در این مرحله، بدافزار مجدداً فایل ELF بارگذاری‌شده را با استفاده از فایل good به‌جای ویجت باینری دانلود می‌کند.

۸. استفاده کردن از تکنیک های ضد شناسایی هویت

اولین قدم برای حذف بدافزار XORDDOS، شناسایی و عزل منطقه‌های آسیب‌پذیر در سیستم است. بهتر است فایل‌های حساسی که بدافزار از آنها استفاده می‌کند را بررسی کنید. این فایل‌ها معمولاً در مسیرهای زیر قرار دارند:

root/.bash_history/: دستورهایی که از پیش اجرا شده اند

var/log/wtmp/:  اطلاعات مربوط به ورود کاربران به سیستم

var/log/btmp/:  گزارشی از تلاش های ناموفق برای ورود به سیستم

var/log/lastlog/: اطلاعات ورود اخیر کاربران به سیستم

var/log/secure/: گزارشی از اطلاعات مرتبط با امنیت مانند گزارش‌های مربوط به ناکامی در احراز هویت

var/log/boot.log/: اطلاعات مرتبط با راه‌اندازی سیستم و پیام ثبت‌شده از‌طریق فرایندهای راه‌اندازی سیستم

var/log/cron/: اطلاعات مرتبط به راه‌اندازی cron

var/log/dmesg/:  پیام‌های مربوط به سخت‌افزار و درایو

var/log/firewalld/: حاوی لاگ‌های فایروال

var/log/maillog/: گزارش اطلاعات سرور ایمیل که در سیستم در حال اجرا است

var/log/messages/: پیام‌های عمومی فعالیت سیستم

var/log/sooler/: پیام‌های مربوط به usenet

var/log/syslog/: پیام‌های عمومی فعالیت سیستم

var/log/yum.log/: پیام‌های مربوط به نصب و حذف و به‌روزرسانی ازطریق ابزار yum

استفاده از هرکدام از روش های دسترسی، نتیجه یکسانی به شما می دهد. فایل های ELF مخربی که از بدافزار XorDDoS ناشی می شوند، اجرا خواهد شد.

اسکریپت bash با بدافزار XorDDoS اجرا کنید

این رویکرد، بدافزار هسته اصلی دستگاه مورد هدف با روت‌کیت موجود در دستور و فرمان سرور یا نیز C2 مطابقت پیدا می‌کند. در صورت حضور روت‌کیت مورد نظر در سیستم، اسکریپت آن را به دستگاه دانلود می‌کند. به‌این ترتیب، مراحل زیر برای اجرای این طریقه پیگیری می‌شوند:

۱. ابتدا اسکریپت bash اطلاعات مرتبط با سیستم مورد نظر را توسط دستور زیر جمع‌آوری کرده و به سرور خارجی ارسال می‌کند:

• استفاده از  lsmod with tailبرای دریافت کردن فهرستی از ماژول‌های هسته لینوکس
• استفاده از Modinfo برای استخراج عدد vermagic حاوی اطلاعات نسخه هسته و نوع ماژول CPU

۲. اطلاعات vermagic به صورت رمزگذاری شده به سرور خارجی مهاجم ارسال می‌شود.

۳. در صورت وجود روت‌کیت باینری در هسته سرور، فایل XorDDoS ELF به عنوان فایل .tar همراه با آن دانلود می‌شود.

۴. فایل .tar پس از رمزگذاری داده‌های رشته‌ای حاوی hash MD5 vermagic به دست می‌آید و در مسیر \tmp روی دستگاه هدف ذخیره می‌شود. در نهایت، روت‌کیت XorDDoS ELF اجرا می‌شود.

اقداماتی که برای محافظت و پیشگیری دربرابر حمله تروجان لینوکسی XorDDoS می‌توانید انجام دهید، عبارتند از:

۱. محدود کردن دسترسی‌های SSH و تنظیم LOC:

قبل از هرکاری، محدود کردن دسترسی Root به SSH با استفاده از LOC امری مهم است. همچنین، می‌توانید دسترسی Root به SSH را تنها به برخی از آی‌پی‌های خاص محدود کنید. همچنین، پورت‌های شبکه‌ای که ممکن است تروجان وارد شود، مانند پورت‌هایی که برای SSH و سرویس‌های دیگر استفاده می‌شوند، را ببندید.

۲. بررسی ورودهای ناموفق:

برای مقابله با حمله تروجان XorDDoS، باید ورودهای ناموفق به سیستم را دقیق بررسی کنید. با تحلیل این ورودها، می‌توانید محل استقرار تروجان مخرب را شناسایی کنید.

۳. به‌روزرسانی سیستم و نرم‌افزارها:

اطمینان حاصل کنید که سیستم‌عامل شما به‌روز و جدیدترین نسخه آن استفاده می‌شود. همچنین، تمام به‌روزرسانی‌های امنیتی مربوط به نرم‌افزارهای نصب‌شده را انجام دهید.

۴. استفاده از راهکارهای ضدمخرب قوی:

برای مقابله با حملات مخرب مانند XorDDoS، از راهکارهای امنیتی قوی استفاده کنید. این شامل استفاده از آنتی‌ویروس‌های قدرتمند، فایروال‌های مؤثر و ابزارهای دیگر می‌شود. همچنین، این راهکارها را به‌صورت دوره‌ای بررسی و به‌روزرسانی کنید تا همیشه در برابر حملات جدید مقاوم باشید.

۵. استفاده از ابزارهای گزارش‌دهی تغییرات:

از ابزارهایی مانند fail2ban استفاده کنید تا تغییرات در سیستم را به‌صورت زمان‌بندی شده گزارش دهند. این ابزارها می‌توانند به شما اعلام کنند که آیا تغییرات غیرمجازی در سیستم رخ داده است یا خیر. با این رویکرد، می‌توانید به‌موقع اقدام به حذف تروجان XorDDoS در لینوکس کنید و از خسارت‌های بیشتر جلوگیری کنید.

مایکروسافت برای جست‌وجوی پیشرفته محافظت‌کننده کوئری که شامل دستور زیر است را طراحی کرده است که قادر به تشخیص بدافزار است.

DeviceLogonEvents | where InitiatingProcessFileName == "sshd" and ActionType == "LogonFailed" | summarize count() by dayOfYear = datetime_part("dayOfYear", Timestamp) | sort by dayOfYear | render linechart

سخن آخر

با توجه به اهمیت بیشتر امنیت سرورها و جلوگیری از آسیب‌های ناشناخته که تروجان XORDDOS می‌تواند به آن ها وارد کند، راهکارهای حذف این بدافزار از سرور لینوکس بسیار حیاتی است. با اجرای مراحلی که در مقاله بیان شد، می‌توانید به‌طور مؤثری از تروجان XORDDOS در سرور خود خلاص شوید.

توصیه می‌شود همواره نگه‌داری از سیستم و نرم‌افزارهای خود به‌روز باشید و از راهکارهای امنیتی مطمئن استفاده کنید تا از حملات مخرب محافظت کنید. همچنین، نگذارید که نقاط ضعف سیستم به‌سادگی به دسترسی مهاجمان بیافتد. با رعایت اصول امنیتی و پیشگیری، می‌توانید بهترین سطح امنیتی را برای سرور لینوکس خود فراهم آورید.

در پایان، بهتر است همواره آگاه باشید که هدف حفظ امنیت سرورها و شبکه‌ها، از جمله لینوکس، نیازمند همکاری و توجه مداوم به تحولات امنیتی است. البته فراموش نکنید که چه از سرور ویندوز استفاده کنید و چه از سرور لینوکس، دانستن روش های افزایش امنیت سرور ویندوز و لینوکس به شما کمک می کند تا همیشه امنیت بالایی را فراهم کنید.

. با رعایت این نکات و اجرای راهکارهای امنیتی موثر، می‌توانید با اطمینان بیشتری از کارآمدی سیستم خود استفاده کنید و از آسیب‌های ناشناخته جلوگیری کنید. در صورتی که سوالی در این زمینه دارید، با ما در قسمت نظرات به اشتراک بگذارید.