XORDDOS kötü amaçlı yazılımını bir Linux sunucusundan kaldırmak için öncelikle şüpheli işlemleri ve sunucuya olan bağlantıları tanımlayın ve bunları hemen sonlandırın. Ardından antivirüs taraması ve güvenlik araçlarını çalıştırarak şüpheli dosyaları tespit edin ve bunları XORDDOS kötü amaçlı yazılımı olarak tanımlayın. Kötü amaçlı yazılımları tespit ettikten sonra şüpheli dosya ve işlemleri kaldırmalı, yazılımı ve işletim sistemini güncellemelisiniz . Bu, güvenlik açıklarını kapatır ve kötü amaçlı yazılımların geri dönüşünü engeller. Ayrıca bu adımları uyguladıktan sonra Linux sunucunuzu daha iyi korumak için diğer güvenlik önlemlerini almanız daha doğru olacaktır.
Ancak öncelikle şunu belirtmeliyiz ki sunucunuza XORDDOS zararlı yazılımının bulaşmasını engellemek için en önemli şey sitemizden Linux sanal sunucu satın almaktır ; Çünkü Linux sanal sunucularımız son derece güvenlidir ve bunu garanti ediyoruz.
İçindekiler
XoRDDos Truva Atı Linux sunucusundan nasıl kaldırılır
XoRDDos Truva Atını Linux sunucusundan kaldırmak zor görünebilir, ancak aşağıdaki adımları izleyerek sisteminizi bu kötü amaçlı kötü amaçlı yazılımdan kolayca temizleyebilirsiniz:
İlk adım: TOP komutuyla CPU durumunun kontrol edilmesi
XoRDDos truva atının sisteminizde olduğundan emin olmak için TOP komutunu kullanın ve CPU durumunu kontrol edin. “hgmijazset” gibi garip isme sahip bir işlem çalışıyorsa, sisteminizde muhtemelen bir Truva atı vardır. Bu işlemin PID numarasını (İşlem Kimliği) not edin.
İkinci adım: Kill komutuyla işlemi durdurun
İşlemi durdurmak için önceki adımda bulduğunuz PID Numarasını kullanın. Farklı adlarla yeniden başlayabileceği için bunun Truva atını tamamen kaldırmadığını unutmayın. İşlemi durdurmak için aşağıdaki komutu kullanın:
kill -STOP [pid-number]
Adım 3: Nano komutuyla dosyaların içeriğini kontrol edin
Şimdi XoRDDos Truva atının yolunu bulmanız gerekiyor. Truva Atı genellikle usr/lib/ yolunda bulunur. Öncelikle bu yola gidin ve nano komutuyla dosyaların içeriğini kontrol edin:
cd /usr/lib
nano file-name
Adım 4: RM komutuyla dosyaları silin
Bu noktada benzer ve şüpheli kodların bulunduğu tüm dosyaları aşağıdaki komutu kullanarak silin:
rm -f 'file-name'
“Dosya adı” yerine şüpheli kod içeren dosyaların adlarını girmeye dikkat edin. Ayrıca önemli dosyaları yanlışlıkla silmediğinizden emin olun.
Adım 5: XORDDOS kötü amaçlı yazılımının ana dosyasını belirleme
XORDDOS kötü amaçlı yazılımını Linux sunucunuzdan kaldırmak için önceki adımları tamamladıktan sonra, şimdi libudev.so adlı ana kötü amaçlı yazılım dosyasını veya adı ne olursa olsun aramalısınız. Bunun için aşağıdaki komutu kullanabilirsiniz:
find / -type f -name libudev.so
Bu komut, tüm Linux dosya sisteminde libudev.so dosyasını aramanıza yardımcı olacaktır. Orijinal dosya adının değişmiş olabileceğini ve farklı bir adla görünebileceğini unutmayın.
Altıncı adım: XORDDOS kötü amaçlı yazılımını Linux sunucusundan kaldırın ve corn komutuyla erişimi değiştirin
Orijinal XORDDOS kötü amaçlı yazılım dosyasını tanımladıktan sonra, aşağıdaki komutu kullanarak dosyayı kaldırabilir ve erişimini değiştirebilirsiniz:
/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib
Yedinci adım: Dosyaları kontrol edin ve silin
XORDDoS Trojanını Linux sunucusundan kaldırmak için aşağıdaki adımları izleyin:
Etc/ klasörünü girin:
Garip adlara sahip yeni dosyaları ve cronları kontrol edin ve bunları kaldırın:
(Dosya adını dosyalarınızın ve cronlarınızın adlarıyla değiştirmeyi unutmayın.)
XORDDoS Truva Atı’nın sunucudan kaldırıldığından emin olduktan sonra root erişim şifrelerini ve kullanıcı oturum açma bilgilerini değiştirmeye devam edin.
Bu adımları uyguladığınızda XORDDoS Trojan’ı sunucunuzdan tamamen kaldırılacak ve erişim şifreleri Trojan’ın sisteme erişim olasılığını en aza indirecek şekilde değiştirilecektir. Tüm değişikliklerin dikkatli bir şekilde ve sisteminizin ihtiyaçlarına göre yapıldığından emin olmanız gerektiğini unutmayın. Ayrıca bazı adımlar dikkatli bir şekilde yapılması gereken root erişimi (süper kullanıcı) gerektirebilir.
Linux sunucularına XORDDOS kötü amaçlı yazılımı nasıl bulaşır?
XORDDOS Truva Atı, SSH aracılığıyla Linux sunucularına sızan ve root erişimi elde etmeye çalışan kötü amaçlı bir kötü amaçlı yazılımdır. Bu bölümde bu Trojanın Linux sunucusundan nasıl kaldırılacağını inceleyeceğiz. XORDDOS kötü amaçlı yazılımı sunucuya aşağıda kısaca açıkladığımız iki şekilde saldırır:
1. Kötü amaçlı ELF dosyasını kopyalayın ve /dev/shm geçici yoluna kaydedin ve dosyayı çalıştırın
2. Bash betiğinin XORDDOS kötü amaçlı yazılımı tarafından yürütülmesi
XORDDOS kötü amaçlı yazılımını Linux sunucusundan kaldırmak için öncelikle sunucuya bulaşmak için kullanılan iki yöntemi öğreneceğiz:
İlk yöntem: Kötü amaçlı ELF dosyasını kopyalayın ve dev/shm/ geçici yoluna kaydedin ve dosyayı çalıştırın.
İlk yöntemde işlemi gerçekleştirmek için dev/shm/ dizininde yazılan dosyalar gizlenir. Bu yöntemin sürecini aşağıda anlattık:
1. Yazılabilir dizinlerden birini belirleme
XORDDOS kötü amaçlı yazılımı genellikle dosyalarını aşağıdaki yollarda saklar ve ardından çalıştırır:
/bin
/home
/root
/tmp
/usr
XORDDOS kötü amaçlı yazılımı bu yollardan birini tanımlayarak kendisini bu yollara yazar.
2. Algılanan dizinlerden birine geçin:
Hedef dizinlerden birini tespit ettiğinde, kötü amaçlı yazılım otomatik olarak o dizine yönlendirilecektir. Daha sonra kötü amaçlı ELF dosyasını harici bir alandan indirme işlemini başlatır .
3. Dosyayı kaydet:
Curl komutunu kullanarak hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt adresindeki kötü amaçlı dosyayı indirir ve ygljglkjgfg0.dll olarak kaydeder.
4. Dosya modunu yürütülebilir olarak değiştirin:
Kötü amaçlı dosya kaydedildikten sonra, kötü amaçlı yazılım, kaydedilen dosyayı yürütülebilir hale getirmek için chmod komutunu kullanır.
5. ELF dosyasını çalıştırma:
XORDDOS kötü amaçlı yazılımı, kötü amaçlı ELF dosyasını dev/shm/ önbelleğe kopyalar ve ardından çalıştırır.
6. İkili widget’ları yeniden adlandırma:
Bu adımda, kötü amaçlı yazılımların widget’ları kullandığında tespit edilmesini önlemek için ikili widget’ların adı ve konumu değiştirilir. Örneğin, wget widget’ı iyi olarak yeniden adlandırıldı ve aşağıdaki yeni yollara taşındı:
mv /usr/bin/wget /usr/bin/good
mv /bin/wget /bin/good
7. ELF dosyasını tekrar indirin:
Bu noktada kötü amaçlı yazılım, yüklenen ELF dosyasını ikili widget yerine iyi dosyayı kullanarak yeniden indirir.
8. Kimlik tespitine karşı tekniklerin kullanılması
XORDDOS kötü amaçlı yazılımını kaldırmanın ilk adımı, sistemdeki savunmasız alanları belirlemek ve izole etmektir. Kötü amaçlı yazılımın kullandığı hassas dosyaları kontrol etmek daha iyidir. Bu dosyalar genellikle aşağıdaki yollarda bulunur:
root/.bash_history/: Daha önce yürütülen komutlar
var/log/wtmp/: Sisteme giriş yapan kullanıcılar hakkında bilgi
var/log/btmp/: Başarısız oturum açma girişimlerinin günlüğü
var/log/lastlog/: Son kullanıcı oturum açma işlemleri hakkında bilgi
var/log/secure/: Kimlik doğrulama hatası günlükleri gibi güvenlikle ilgili bilgilerin günlüğü
var/log/boot.log/: sistem başlatmayla ilgili bilgiler ve sistem başlatma işlemleri tarafından günlüğe kaydedilen iletiler
var/log/cron/: cron başlatmayla ilgili bilgiler
var/log/dmesg/: donanım ve sürücüyle ilgili mesajlar
var/log/firewalld/: Güvenlik duvarı günlüklerini içerir
var/log/maillog/: sistemde çalışan posta sunucusu hakkındaki bilgileri günlüğe kaydeder
var/log/messages/: genel sistem etkinliği mesajları
var/log/sooler/: usenet hakkındaki mesajlar
var/log/syslog/: genel sistem etkinliği mesajları
var/log/yum.log/: yum yardımcı programının yüklenmesi, kaldırılması ve güncellenmesiyle ilgili mesajlar
Erişim yöntemlerinden herhangi birini kullanmak size aynı sonucu verecektir. XorDDoS kötü amaçlı yazılımından kaynaklanan kötü amaçlı ELF dosyaları yürütülecektir.
Bash betiğini XorDDoS kötü amaçlı yazılımıyla çalıştırın
Bu yaklaşım, hedef cihazın temel kötü amaçlı yazılımını sunucu komutundaki veya C2’deki rootkit ile eşleştirir. İstenilen rootkit sistemde mevcutsa, script onu cihaza indirecektir. Bu nedenle bu yöntemin uygulanması için aşağıdaki adımlar izlenir:
1. Bash betiği öncelikle hedef sistemle ilgili bilgileri toplar ve aşağıdaki komutla harici sunucuya gönderir:
- Linux çekirdek modüllerinin bir listesini almak için lsmod’u tail ile kullanın
- Çekirdek sürümü ve CPU modülü türü bilgilerini içeren vermagic numarasını çıkarmak için Modinfo’yu kullanma
2. Vermagic bilgileri saldırganın harici sunucusuna şifrelenmiş olarak gönderilir.
3. Sunucu çekirdeğinde ikili rootkit varsa XorDDoS ELF dosyası da onunla birlikte .tar dosyası olarak indirilir.
4. .tar dosyası vermagic MD5 karma değerini içeren dize verilerinin kodlanmasından sonra elde edilir ve hedef cihazdaki \tmp yolunda saklanır. Son olarak XorDDoS ELF rootkit’i çalıştırılır.
XorDDoS Linux Truva Atı saldırısını korumak ve önlemek için atabileceğiniz adımlar şunlardır:
1. SSH erişimini kısıtlayın ve LOC’yi ayarlayın:
Her şeyden önce LOC kullanarak SSH’ye root erişimini kısıtlamak önemlidir. Ayrıca SSH’ye Root erişimini yalnızca belirli IP’lerle sınırlayabilirsiniz. Ayrıca SSH ve diğer hizmetler için kullanılanlar gibi Truva atının girebileceği ağ bağlantı noktalarını kapatın.
2. Başarısız oturum açma işlemleri kontrol ediliyor:
XorDDoS Truva atı saldırısına karşı koymak için başarısız girişleri dikkatlice kontrol etmelisiniz. Bu günlükleri analiz ederek kötü amaçlı truva atının konumunu belirleyebilirsiniz.
3. Sistem ve yazılım güncellemeleri:
İşletim sisteminizin güncel olduğundan ve en son sürümü kullandığından emin olun. Ayrıca yüklü yazılım için tüm güvenlik güncellemelerini gerçekleştirin.
4. Güçlü kötü amaçlı yazılımdan koruma çözümlerinin kullanılması:
XorDDoS gibi kötü amaçlı saldırılara karşı güçlü güvenlik çözümleri kullanın. Buna güçlü antivirüslerin, etkili güvenlik duvarlarının ve diğer araçların kullanılması da dahildir. Ayrıca yeni saldırılara karşı dirençli kalmak için bu çözümleri düzenli aralıklarla gözden geçirip güncelleyin.
5. Değişiklik raporlama araçlarını kullanma:
Sistem değişikliklerini planlı olarak raporlamak için fail2ban gibi araçları kullanın. Bu araçlar, sistemde yetkisiz değişikliklerin olup olmadığını size söyleyebilir. Bu yaklaşımla Linux üzerindeki XorDDoS Trojanını zamanında kaldırabilir ve daha fazla zararın önüne geçebilirsiniz.
Gelişmiş arama için Microsoft, kötü amaçlı yazılımları tespit edebilen aşağıdaki komutu içeren bir sorgu koruyucusu tasarlamıştır.
DeviceLogonEvents
| where InitiatingProcessFileName == "sshd"
and ActionType == "LogonFailed"
| summarize count() by dayOfYear = datetime_part("dayOfYear", Timestamp)
| sort by dayOfYear
| render linechart
son söz
Sunucu güvenliğinin daha büyük önem taşıması ve XORDDOS Trojan’ın onlara verebileceği bilinmeyen zararların önlenmesi nedeniyle, bu kötü amaçlı yazılımın Linux sunucusundan kaldırılmasına yönelik çözümler çok önemlidir. Makalede özetlenen adımları izleyerek sunucunuzdaki XORDDOS Trojanından etkili bir şekilde kurtulabilirsiniz.
Kötü niyetli saldırılara karşı korunmak için sisteminizi ve yazılımınızı her zaman güncel tutmanız ve güvenilir güvenlik çözümleri kullanmanız önerilir. Ayrıca sistem açıklarını saldırganların kolayca erişebileceği şekilde bırakmayın. Güvenlik ve önleme ilkelerini takip ederek Linux sunucunuz için en iyi güvenlik düzeyini sağlayabilirsiniz.
Sonuç olarak, Linux da dahil olmak üzere sunucuların ve ağların güvenliğini koruma hedefinin işbirliği ve güvenlik gelişmelerine sürekli dikkat gerektirdiğinin her zaman farkında olmak daha iyidir. Elbette şunu unutmayın ister Windows sunucu kullanın , ister Linux sunucu kullanın, Windows ve Linux sunucuların güvenliğini nasıl artıracağınızı bilmek her zaman yüksek güvenlik sağlamanıza yardımcı olacaktır.