
چگونه بدافزار XORDDOS را از سرور لینوکس حذف کنیم؟
بدافزار XORDDOS، یکی از تروجانهای مخرب و پرطرفدار است که به سیستمهای لینوکس حملات وارد میکند و باعث اشغال منابع سرور و ایجاد مشکلات امنیتی و عملکردی میشود. به صورت ساده تر بدافزار XORDDOS یک نوع حمله DDoS است که با استفاده از الگوریتم XOR شبکهها و سرورها را مورد حمله قرار میدهد. در این مقاله، به بررسی روشهای حذف بدافزار XORDDOS از سرور لینوکس خواهیم پرداخت. از اصولی ساده گرفته تا راهکارهای پیچیدهتر، ما راهنماییها و تکنیکهایی را ارائه میدهیم که به شما کمک میکنند تا از سرور خود تا حد امکان در مقابل این تروجان مخرب محافظت کنید و در صورت آلوده شدن، آن را به طور کامل از سیستمتان از بین ببرید. همچنین، توضیح خواهیم داد که چگونه با اقدامات پیشگیرانه، مانع ورود این تروجان به سرور لینوکس خود شوید و از پیشرفت آن جلوگیری کنید. با ما همراه باشید و نگاهی به این بدافزار مخرب بیاندازیم و به شما راهنمایی کامل برای حفاظت از سرورتان را ارائه دهیم.
برای حذف بدافزار XORDDOS از سرور لینوکس ابتدا، فرآیندها و اتصالات مشکوک به سرور را شناسایی و به صورت فوری قطع کنید. سپس با اجرای اسکن آنتیویروس و ابزارهای امنیتی، فایلهای مشکوک را تشخیص داده و آنها را به عنوان بدافزار XORDDOS شناسایی کنید. بعد از شناسایی بدافزار، باید فایلها و پروسههای مشکوک را حذف کرده و نرمافزارها و سیستم عامل را بهروزرسانی کنید. این کار باعث بستن ضعفهای امنیتی و جلوگیری از بازگشت بدافزار میشود. همچنین، بهتر است پس از انجام این مراحل، اقدامات امنیتی دیگری نیز برای محافظت بهتر از سرور لینوکس انجام دهید.
اما پیش از هرچیز باید این نکته را ذکر کنیم که مهم ترین نکته برای پیشگیری از آلوده شدن سرورتان به بدافزار XORDDOS این است که خرید سرور مجازی لینوکس را از آسام سرور انجام دهید؛ چرا که امنیت سرور مجازی های لینوکس این سایت تا حد زیادی تضمین شده است.
آموزش حذف تروجان XoRDDos از سرور لینوکس
حذف تروجان XoRDDos از سرور لینوکس ممکن است چالشبرانگیز به نظر برسد، اما با انجام مراحل زیر میتوانید بهراحتی سیستمتان را از این بدافزار مخرب پاک کنید:
مرحله اول: بررسی وضعیت CPU با دستور TOP
برای اطمینان از وجود تروجان XoRDDos در سیستم خود، از دستور TOP استفاده کنید و وضعیت CPU را بررسی کنید. اگر فرایندی با نام عجیب و غریبی مانند “hgmijazset” در حال اجرا باشد، احتمالاً تروجان در سیستم شما وجود دارد. شماره PID (Process ID) این فرایند را یادداشت کنید.
مرحله دوم: متوقف کردن فرایند با دستور Kill
از PID Number که در مرحله قبل یافتهاید، برای متوقف کردن فرایند استفاده کنید. دقت کنید که این اقدام تروجان را بهطور کامل حذف نمیکند، زیرا ممکن است مجدداً با نامهای دیگری شروع به کار کند. برای متوقف کردن فرایند، از دستور زیر استفاده کنید:
kill -STOP [pid-number]
مرحله سوم: محتویات پروندهها را با دستور nano بررسی کنید
حالا نیاز است مسیر تروجان XoRDDos را پیدا کنید. تروجان معمولاً در مسیر usr/lib/ قرار دارد. ابتدا به این مسیر بروید و با دستور nano محتوای فایلها را بررسی کنید:
cd /usr/lib
nano file-name
مرحله چهارم: حذف پروندهها با دستور RM
در این مرحله، تمام پروندههایی که دارای کدهای مشابه و مشکوک هستند را با استفاده از دستور زیر حذف کنید:
rm -f 'file-name'
دقت داشته باشید که بهجای “file-name”، نام پروندههایی که حاوی کدهای مشکوک هستند را وارد کنید. همچنین، حتماً مطمئن شوید که پروندههای مهم را بهاشتباه پاک نمیکنید.
مرحله پنجم: شناسایی فایل اصلی بدافزار XORDDOS
پس از انجام مراحل قبلی برای حذف بدافزار XORDDOS از سرور لینوکس، حالا باید به دنبال فایل اصلی بدافزار با نام libudev.so یا نام دیگری که ممکن است داشته باشد، بگردید. برای این کار، میتوانید از دستور زیر استفاده کنید:
find / -type f -name libudev.so
این دستور به شما کمک میکند تا فایل libudev.so را در تمام سیستم فایل لینوکس جستجو کنید. توجه داشته باشید که اسم فایل اصلی ممکن است تغییر کرده باشد و ممکن است با نام دیگری نیز ظاهر شود.
مرحله ششم: حذف بدافزار XORDDOS از سرور لینوکس و تغییر دادن دسترسی با دستور corn
پس از شناسایی فایل اصلی بدافزار XORDDOS، میتوانید آن را با استفاده از دستور زیر حذف کنید و همچنین دسترسی به آن را تغییر دهید:
/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib
مرحله هفتم: بررسی و حذف فایلها
برای حذف تروجان XORDDoS از سرور لینوکس، مراحل زیر را دنبال کنید:
وارد پوشه etc/ شوید:
فایلها و cronهای جدید با نامهای عجیب و غریب را بررسی کنید و آنها را حذف کنید:
(توجه داشته باشید که filename را با نام فایلها و cronهای شما جایگزین کنید.)
بعد از اطمینان از حذف تروجان XORDDoS از سرور، به تغییر رمزهای دسترسی به Root و ورود کاربران بپردازید.
با انجام این مراحل، تروجان XORDDoS بهطور کامل از سرور شما حذف میشود و رمزهای دسترسی تغییر داده میشوند تا احتمال دسترسی تروجان به سیستم به حداقل برسد. لازم به ذکر است که اطمینان حاصل کنید که همه تغییرات انجام شده با دقت و مطابقت با نیازهای سیستم شما باشد. همچنین ممکن است برخی از مراحل نیاز به دسترسی روت (superuser) داشته باشد که باید با احتیاط و دقت انجام شود.
سرورهای لینوکس چگونه به بدافزارXORDDOS آلوده می شوند؟
تروجان XORDDOS یک بدافزار مخرب است که به واسطه SSH به سرورهای لینوکس نفوذ میکند و تلاش میکند دسترسی به روت را کسب کند. در این قسمت نحوه حذف این تروجان از سرور لینوکس را مورد بررسی قرار میدهیم. بدافزار XORDDOS به دو روش حمله به سرور اقدام میکند که به طور خلاصه در زیر توضیح دادهایم:
۱. کپی کردن فایل مخرب ELF و ذخیره آن در مسیر موقت /dev/shm و اجرای فایل
۲. اجرای اسکریپت bash توسط بدافزار XORDDOS
برای انجام مراحل حذف بدافزار XORDDOS از سرور لینوکس، ابتدا با دو روش مورد آلودگی سرور آشنا میشویم:
روش اول: کپی کردن فایل مخرب ELF و ذخیره آن در مسیر موقت dev/shm/ و اجرای فایل
در روش اول فایل هایی که در dev/shm/ نوشته شده اند، برای انجام شدن عملیات، مخفی می شوند. فرایند این روش را در زیر توضیح داده ایم:
۱. شناسایی کردن یکی از دایرکتوریهای نوشتنی
بهطور معمول، بدافزار XORDDOS فایلهای خود را در مسیرهای زیر ذخیره میکند و سپس اجرا میکند:
/bin
/home
/root
/tmp
/usr
بدافزار XORDDOS با شناسایی یکی از این مسیرها، اقدام به نوشتن خود در آنها میکند.
۲. تغییر به یکی از دایرکتوریهای شناساییشده:
هنگام شناسایی یکی از دایرکتوریهای مورد نظر، بدافزار به طور خودکار به آن دایرکتوری تغییر مسیر میدهد. سپس فرآیند دانلود فایل مخرب ELF را از دامنهای خارجی شروع میکند.
۳. ذخیره فایل:
با استفاده از دستور curl، فایل مخرب موجود در آدرس hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt را دانلود میکند و آن را با نام ygljglkjgfg0 ذخیره میکند.
۴. تغییر حالت فایل بهصورت قابل اجرا:
بعد از ذخیره فایل مخرب، بدافزار از دستور chmod استفاده میکند تا فایل ذخیرهشده را به حالت اجرایی (executable) تبدیل کند.
۵. اجرای فایل ELF:
بدافزار XORDDOS فایل ELF مخرب را در حافظه موقت dev/shm/ کپی کرده و سپس آن را اجرا میکند.
۶. تغییر نام ویجتهای باینری:
در این مرحله، نام و محل قرارگیری ویجتهای باینری تغییر میکند تا در هنگام استفاده بدافزار از ویجتها، تشخیص دادهشدن جلوگیری شود. برای مثال، نام ویجت wget به good تغییر میکند و به مسیرهای جدید زیر منتقل میشود:
mv /usr/bin/wget /usr/bin/good
mv /bin/wget /bin/good
۷. دانلود مجدد فایل ELF:
در این مرحله، بدافزار مجدداً فایل ELF بارگذاریشده را با استفاده از فایل good بهجای ویجت باینری دانلود میکند.
۸. استفاده کردن از تکنیک های ضد شناسایی هویت
اولین قدم برای حذف بدافزار XORDDOS، شناسایی و عزل منطقههای آسیبپذیر در سیستم است. بهتر است فایلهای حساسی که بدافزار از آنها استفاده میکند را بررسی کنید. این فایلها معمولاً در مسیرهای زیر قرار دارند:
root/.bash_history/: دستورهایی که از پیش اجرا شده اند
var/log/wtmp/: اطلاعات مربوط به ورود کاربران به سیستم
var/log/btmp/: گزارشی از تلاش های ناموفق برای ورود به سیستم
var/log/lastlog/: اطلاعات ورود اخیر کاربران به سیستم
var/log/secure/: گزارشی از اطلاعات مرتبط با امنیت مانند گزارشهای مربوط به ناکامی در احراز هویت
var/log/boot.log/: اطلاعات مرتبط با راهاندازی سیستم و پیام ثبتشده ازطریق فرایندهای راهاندازی سیستم
var/log/cron/: اطلاعات مرتبط به راهاندازی cron
var/log/dmesg/: پیامهای مربوط به سختافزار و درایو
var/log/firewalld/: حاوی لاگهای فایروال
var/log/maillog/: گزارش اطلاعات سرور ایمیل که در سیستم در حال اجرا است
var/log/messages/: پیامهای عمومی فعالیت سیستم
var/log/sooler/: پیامهای مربوط به usenet
var/log/syslog/: پیامهای عمومی فعالیت سیستم
var/log/yum.log/: پیامهای مربوط به نصب و حذف و بهروزرسانی ازطریق ابزار yum
استفاده از هرکدام از روش های دسترسی، نتیجه یکسانی به شما می دهد. فایل های ELF مخربی که از بدافزار XorDDoS ناشی می شوند، اجرا خواهد شد.
اسکریپت bash با بدافزار XorDDoS اجرا کنید
این رویکرد، بدافزار هسته اصلی دستگاه مورد هدف با روتکیت موجود در دستور و فرمان سرور یا نیز C2 مطابقت پیدا میکند. در صورت حضور روتکیت مورد نظر در سیستم، اسکریپت آن را به دستگاه دانلود میکند. بهاین ترتیب، مراحل زیر برای اجرای این طریقه پیگیری میشوند:
۱. ابتدا اسکریپت bash اطلاعات مرتبط با سیستم مورد نظر را توسط دستور زیر جمعآوری کرده و به سرور خارجی ارسال میکند:
- استفاده از lsmod with tailبرای دریافت کردن فهرستی از ماژولهای هسته لینوکس
- استفاده از Modinfo برای استخراج عدد vermagic حاوی اطلاعات نسخه هسته و نوع ماژول CPU
۲. اطلاعات vermagic به صورت رمزگذاری شده به سرور خارجی مهاجم ارسال میشود.
۳. در صورت وجود روتکیت باینری در هسته سرور، فایل XorDDoS ELF به عنوان فایل .tar همراه با آن دانلود میشود.
۴. فایل .tar پس از رمزگذاری دادههای رشتهای حاوی hash MD5 vermagic به دست میآید و در مسیر \tmp روی دستگاه هدف ذخیره میشود. در نهایت، روتکیت XorDDoS ELF اجرا میشود.
اقداماتی که برای محافظت و پیشگیری دربرابر حمله تروجان لینوکسی XorDDoS میتوانید انجام دهید، عبارتند از:
۱. محدود کردن دسترسیهای SSH و تنظیم LOC:
قبل از هرکاری، محدود کردن دسترسی Root به SSH با استفاده از LOC امری مهم است. همچنین، میتوانید دسترسی Root به SSH را تنها به برخی از آیپیهای خاص محدود کنید. همچنین، پورتهای شبکهای که ممکن است تروجان وارد شود، مانند پورتهایی که برای SSH و سرویسهای دیگر استفاده میشوند، را ببندید.
۲. بررسی ورودهای ناموفق:
برای مقابله با حمله تروجان XorDDoS، باید ورودهای ناموفق به سیستم را دقیق بررسی کنید. با تحلیل این ورودها، میتوانید محل استقرار تروجان مخرب را شناسایی کنید.
۳. بهروزرسانی سیستم و نرمافزارها:
اطمینان حاصل کنید که سیستمعامل شما بهروز و جدیدترین نسخه آن استفاده میشود. همچنین، تمام بهروزرسانیهای امنیتی مربوط به نرمافزارهای نصبشده را انجام دهید.
۴. استفاده از راهکارهای ضدمخرب قوی:
برای مقابله با حملات مخرب مانند XorDDoS، از راهکارهای امنیتی قوی استفاده کنید. این شامل استفاده از آنتیویروسهای قدرتمند، فایروالهای مؤثر و ابزارهای دیگر میشود. همچنین، این راهکارها را بهصورت دورهای بررسی و بهروزرسانی کنید تا همیشه در برابر حملات جدید مقاوم باشید.
۵. استفاده از ابزارهای گزارشدهی تغییرات:
از ابزارهایی مانند fail2ban استفاده کنید تا تغییرات در سیستم را بهصورت زمانبندی شده گزارش دهند. این ابزارها میتوانند به شما اعلام کنند که آیا تغییرات غیرمجازی در سیستم رخ داده است یا خیر. با این رویکرد، میتوانید بهموقع اقدام به حذف تروجان XorDDoS در لینوکس کنید و از خسارتهای بیشتر جلوگیری کنید.
مایکروسافت برای جستوجوی پیشرفته محافظتکننده کوئری که شامل دستور زیر است را طراحی کرده است که قادر به تشخیص بدافزار است.
DeviceLogonEvents
| where InitiatingProcessFileName == "sshd"
and ActionType == "LogonFailed"
| summarize count() by dayOfYear = datetime_part("dayOfYear", Timestamp)
| sort by dayOfYear
| render linechart
سخن آخر
با توجه به اهمیت بیشتر امنیت سرورها و جلوگیری از آسیبهای ناشناخته که تروجان XORDDOS میتواند به آن ها وارد کند، راهکارهای حذف این بدافزار از سرور لینوکس بسیار حیاتی است. با اجرای مراحلی که در مقاله بیان شد، میتوانید بهطور مؤثری از تروجان XORDDOS در سرور خود خلاص شوید.
توصیه میشود همواره نگهداری از سیستم و نرمافزارهای خود بهروز باشید و از راهکارهای امنیتی مطمئن استفاده کنید تا از حملات مخرب محافظت کنید. همچنین، نگذارید که نقاط ضعف سیستم بهسادگی به دسترسی مهاجمان بیافتد. با رعایت اصول امنیتی و پیشگیری، میتوانید بهترین سطح امنیتی را برای سرور لینوکس خود فراهم آورید.
در پایان، بهتر است همواره آگاه باشید که هدف حفظ امنیت سرورها و شبکهها، از جمله لینوکس، نیازمند همکاری و توجه مداوم به تحولات امنیتی است. البته فراموش نکنید که چه از سرور ویندوز استفاده کنید و چه از سرور لینوکس، دانستن روش های افزایش امنیت سرور ویندوز و لینوکس به شما کمک می کند تا همیشه امنیت بالایی را فراهم کنید.
. با رعایت این نکات و اجرای راهکارهای امنیتی موثر، میتوانید با اطمینان بیشتری از کارآمدی سیستم خود استفاده کنید و از آسیبهای ناشناخته جلوگیری کنید. در صورتی که سوالی در این زمینه دارید، با ما در قسمت نظرات به اشتراک بگذارید.
سوالات متداول:
چگونه میتوانیم سرور را از حملات XORDDOS محافظت کنیم؟
اجرای دستورات امنیتی مانند تنظیمات فایروال، نصب نرمافزارهای امنیتی و محدود کردن ترافیک غیرضروری میتواند به محافظت از سرور کمک کند.
آیا تشخیص و هوش مصنوعی میتواند در تشخیص و پیشگیری از حملات XORDDOS مفید باشد؟
بله، سیستمهای تشخیص هوش مصنوعی میتوانند الگوها و رفتارهای غیرطبیعی را تشخیص داده و در پیشگیری از حملات مفید باشند.