صبحانه کاری برای شروع رفاقت های کاری و تخصصی

آموزش مرحله به مرحله حذف تروجان XorDDoS از سرور لینوکسی

آموزش حذف تروجان لینوکسی XORDDoS از سرور لینوکسی
Avatar
نویسنده: دریا آزادخواه
چهارشنبه 17 خرداد 1402
مطالعه: ۱۲ دقیقه ۰ نظر ۶۷۷ بازدید

حذف تروجان XoRDDos از لینوکس، سیستمتان را از شر بدافزارهای مخرب نجات خواهد داد. تروجان xorDDoS نوعی بات‌نت است که در سال ۲۰۱۴ کشف شد. با‌این‌حال طبق گزارش شرکت مایکروسافت، در شش ماه اخیر سال ۲۰۲۲ جهشی بیش از ۲۵۰ موردی را تجربه کرده است. به‌بیان بهتر، تروجان XorDDoS نوعی حمله رمزگذاری‌شده در سرور است که تنظیمات آن را تغییر می‌دهد و برای جلوگیری از شناسایی روت‌کیتی روی سرور نصب می‌کند. در این مقاله از بلاگ پارس پک، قصد داریم هفت مرحله سریع و راحت برای حذف تروجان XORDDoS در لینوکس را بررسی کنیم. پس از خواندن این مقاله، خواهید توانست علاوه‌بر حذف این تروجان مخرب، با راهکارهای مؤثر سیستمتان را در‌برابر بدافزار مقاوم کنید.

خرید سرورهای لینوکس با قابلیت حذف XoRDDos از پارس پک

شما می‌توانید از این مقاله برای مدیریت سرور لینوکس خود استفاده کنید و اگر قصد خرید سرویس‌های لینوکسی پارس پک را دارید، می‌توانید با کارشناسان فروش ما در ارتباط باشید. همچنین، شما می‌توانید برای اطلاع از تعرفه‌ها و هزینه‌ها به لینک‌های زیر مراجعه کنید.

 آموزش حذف تروجان XoRDDos از لینوکس

حذف تروجان XoRDDos از لینوکس ممکن است کار سخت و پیچیده‌ای به‌نظر برسد. اما با انجام چندین مرحله می‌توانید به‌راحتی سیستمتان را از شر بدافزارهای مخرب نجات دهید. درادامه نحوه حذف تروجان XoRDDos از لینوکس را به‌صورت مرحله به مرحله آموزش می‌دهیم.

برای آشنایی با آموزش کامل انواع بدافزار و نحوه شناسایی و مقابله با آن‌ها مقاله زیر را بخوانید.

بدافزار چیست؟

مرحله اول: دستور TOP را وارد کنید

در اولین مرحله از نحوه حذف تروجان XoRDDos از لینوکس قصد داریم مطمئن شویم که تروجان در سیستم وجود دارد. برای این کار، از‌طریق ابزار TOP وضعیت CPU را بررسی می‌کنیم. درصورتی‌که فرایند یا فایلی با نام عجیب مانند hgmijazset مشاهده کردید که روی سرور در حال اجراست، از بدافزاری حکایت می‌کند که سرور شما را آلوده کرده است. نگاه دقیقی به اطلاعات تروجان مانند شماره PID بیندازید. به این اطلاعات نیاز پیدا خواهید کرد.

مرحله دوم: فرایند را دستور Kill متوقف کنید

در مرحله دوم حذف تروجان XoRDDos از لینوکس، نیاز است فرایند را با استفاده از PID Number که از تروجان مشاهده کردیم، متوقف کنیم. فراموش نکنید که امکان Killکردن کامل فرایند در این مرحله وجود ندارد؛ زیرا مجدداً با نام‌های دیگری شروع به کار می‌کند. پس دستور زیر را فقط برای توقف این فرایند وارد کنید:

kill -STOP [pid-number]

مرحله سوم: محتویات پرونده با دستور nano مشاهده کنید

در مرحله بعدی، برای حذف تروجان XoRDDos از لینوکس می‌خواهیم ابتدا مسیر تروجان را پیدا کنیم. تروجان معمولاً در مسیر زیر یافت می‌شود:

cd / usr / lib

به این آدرس بروید و نام‌ پرونده را در دستور nano وارد کنید تا محتوای آن مشاهده‌شدنی شود:

nano file-name

نکته: به نحوه نگارش دستورهای نمایش‌داده‌شده دقت کنید.

مرحله چهارم: پرونده دارای کدهای مشابه را با دستور RM حذف کنید

در این مرحله، می‌خواهیم تمام پرونده‌های موجود که از سبک دستور مشکوکی مانند دستور بالا برخوردار‌ند، به‌کمک دستور زیر حذف کنیم:

‘rm-f ‘file-name

به‌جای file_name، نیاز است نام پرونده‌هایی را وارد کنید که حاوی کدهای مشکوک هستند. در این مرحله، دقت کنید که پرونده‌های خود را به‌‌اشتباه پاک نکنید.

نحوه حذف تروجان XoRDDos از لینوکس
آموزش حذف تروجان XoRDDos از لینوکس

مرحله پنجم: فایل اصلی را پیدا کنید

در مرحله پنجم از مسیر حذف تروجان XoRDDos از لینوکس، پس از اینکه فایل‌های مشکوک را پاک کردید، حالا به‌دنبال قاتل اصلی، یعنی فایل اصلی تروجان XorDDoS بگردید. اسم اصلی فایل معمولاً با libudev.so نمایش داده می‌شود؛ البته این اسم نیز همیشه صدق نمی‌کند.

برای راهنمایی دقیق‌تر، فایل را در فهرست دایرکتوری /lib می‌توانید پیدا یا دستور زیر را وارد کنید:

Find / -type f -name libudev.so

مرحله ششم: حذف فایل اصلی تروجان و تغییر دسترسی با دستور corn

پس از پیداکردن فایل اصلی، آن را با استفاده از دستور rm-f حذف کنید. ازآن‌جاکه این دستور در cron سیستم قرار گرفته است، باید دسترسی آن را با دستور زیر تغییر دهید:

/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib

مرحله هفتم: فایل را به‌طور‌کامل بررسی کنید

برای کامل کردن روال حذف تروجان XORDDoS در لینوکس، به پوشه /etc بروید و تمام فایل‌ها و cron‌های جدید را بررسی کنید. برای نمایش جدیدترین فایل‌ها، می‌توانید از دستور LS-LRT بهره ببرید. سپس فایل‌هایی با نام عجیب‌وغریب را بررسی و حذف کنید.

بدین‌ترتیب، موفق شدید از شرّ تروجان XORDOS کاملاً راحت شوید. تروجان‌ها معمولاً از‌طریق حمله‌های ناگهانی Brute Force وارد سرور می‌شوند. در این شرایط، این احتمال وجود دارد که آن‌ها به رمزهای شما دسترسی پیدا کرده باشند‌؛ بنابراین، بهتر است تمام رمزهای دسترسی به Root و ورود کاربران را تغییر دهید.

آموزش حذف تروجان XORDDoS در لینوکس
روش حذف تروجان XORDDoS در لینوکس

نحوه آلودگی سرور به بدافزار XorDDoS

تا این قسمت از مقاله نحوه حذف تروجان XoRDDos از لینوکس را بررسی کردیم. در این قسمت، نیاز است نحوه آلودگی سرور لینوکس به این بدافزار مخرب را بدانید. بدافزار XorDDoS معمولاً برای ایجاد روت‌کیت روی سرور از‌طریق SSH وارد عمل می‌شود. SSH به‌عنوان پروتکل برقراری ارتباط با سرور از راه دور، امکان نفوذ ناامن مخرب‌ XorDDoS را فراهم می‌کند. این مخرب تلاش می‌کند تا ورودهای مجاز را با دسترسی به Root از بین ببرد. براساس گزارش‌ها، XorDDoS از دو طریق می‌تواند حمله خود را روی سرور انجام دهد:

  • کپی‌کردن فایل مخرب ELF و ذخیره آن در فایل موقت /dev/shm و اجرای فایل
  • اجرای اسکریپت bash ازطریق بدافزار XorDDoS

برای حذف تروجان XoRDDos از لینوکس نیاز است با هر دو روش آلودگی سرور به این بدافزار آشنا شوید:

روش اول: کپی‌کردن فایل مخرب ELF و ذخیره آن در فایل موقت /dev/shm و اجرای فایل

در این روش، فایل‌های نوشته‌شده در /dev/shm برای انجام عملیات مخفی حذف می‌شوند. روال کار به‌صورت زیر انجام می‌شود:

۱. شناسایی یکی از دایرکتوری‌های نوشتنی

تروجان XorDDoS کارش را با شناسایی یکی از دایرکتوری‌های موجود در فهرست زیر آغاز می‌کند:

  •  /bin
  •  /home
  •  /root
  •  /tmp
  •  /usr

پس از شناسایی این دایرکتوری‌های نوشتنی، خود را به یکی از آن‌ها تبدیل می‌کند.

۲. تغییر به یکی از دایرکتوری‌های شناسایی‌شده

به‌محض اینکه یکی از دایرکتوری‌های بالا را شناسایی کرد، به آن تبدیل می‌شود و سپس شروع به دانلود فایل مخرب ELF می‌کند که از دامنه‌ای خارجی بارگذاری شده است.

۳. ذخیره فایل

از فایل مخرب hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt با کمک دستور curl استفاده و آن را به‌عنوان فایل دانلود ygljglkjgfg0 ذخیره می‌کند.

۴. تغییر حالت فایل به‌صورت قابل اجرا

سپس، این بدافزار به‌کمک دستور chmod فایل ذخیره‌شده را به حالت اجرایی executable تبدیل می‌کند.

۵. اجرای فایل ELF

تروجان Xor DDoS، فایل ELF مخرب را در حافظه موقت dev/shm/ کپی کرده و سپس آن را اجرا می‌کند.

۶. تغییر نام ویجت‌های باینری

در این مرحله، نام و لوکیشن ویجت‌های باینری را تغییر می‌دهد تا طی استفاده بدافزار از ویجت، شناسایی نشود. در این‌جا، نام‌ ویجت را به good تغییر داده و به مکان زیر منتقل کرده است:

  • mv /usr/bin/wget /usr/bin/good
  • mv /bin/wget /bin/good

۷. دانلود مجدد فایل ELF

در این مرحله، مجدداً فایل بارگذاری‌شده ELF را با استفاده از فایل good به‌جای ویجت باینری دانلود می‌کند.

۸. استفاده از تکنیک ضد‌شناسایی هویت

پس از اجرای فایل ELF با استفاده از بازنویسی محتواهای حساس، از تکنیک ضدشناسایی استفاده می‌کند تا فعالیت‌های قبلی‌اش را پنهان کند. در جدول زیر، بخشی از آن را می‌بینید:

شرح فایل‌های حساس
شامل دستورهایی که قبلاً اجرا شده است /root/.bash_history
شامل اطلاعات مربوط به ورود کاربران به سیستم /var/log/wtmp
شامل سابقه تلاش ناموفق برای ورود به سیستم /var/log/btmp
حاوی اطلاعات ورود اخیر کاربران به سیستم /var/log/lastlog
اطلاعات مربوط به امنیت مانند گزارش‌های مربوط به ناکامی در احراز هویت /var/log/secure
حاوی اطلاعات مربوط به راه‌اندازی سیستم و پیام ثبت‌شده از‌طریق فرایندهای راه‌اندازی سیستم است /var/log/boot.log
حاوی اطلاعات مربوط به راه‌اندازی cron /var/log/cron
حاوی پیام‌های مربوط به سخت‌افزار و درایو /var/log/dmesg
حاوی لاگ‌های فایروال /var/log/firewalld
حاوی اطلاعات سرور ایمیل که در سیستم اجرا می‌شود /var/log/maillog
پیام‌های عمومی فعالیت سیستم /var/log/messages
پیام‌های مربوط به usenet /var/log/sooler
پیام‌های عمومی فعالیت سیستم /var/log/syslog
پیام‌های مربوط به نصب و حذف و به‌روزرسانی ازطریق ابزار yum /var/log/yum.log

هرکدام از راه‌های دسترسی استفاده شود، نتیجه یکسان است. فایل مخرب ELF ناشی از بدافزار XorDDoS اجرا خواهد شد.

برای آشنایی با مراحل ایجاد احراز هویت دومرحله‌ای برای SSH در لینوکس مقاله زیر را بخوانید.

فعال‌سازی احراز هویت دومرحله‌ای SSH در لینوکس

روش دوم: اجرای اسکریپت bash با بدافزار XorDDoS

برای درک دقیق‌تر نحوه حذف تروجان XoRDDos از لینوکس سراغ روش دوم آلودگی سرور می‌رویم. در این روش، بدافزار هسته اصلی دستگاه هدف را با روت‌‌کیت موجود روی دستور و فرمان سرور یا C2 تطبیق می‌دهد. اگر روت‌کیت مدنظر در دستگاه وجود داشته باشد، اسکریپت آن را دانلود می‌کند. بدین‌ترتیب، در این روش مراحل زیر را پیش می‌برد:

۱. اسکریپت bash اطلاعات مربوط به دستگاه را با دستور زیر دریافت و به سرور خارجی ارسال می‌کند:

  • استفاده از lsmod with tail برای دریافت فهرست ماژول‌های هسته لینوکس
  • استفاده از Modinfo برای استخراج عدد vermagic حاوی رشته اطلاعات شماره نسخه هسته و نوع ماژول CPU

۲. اطلاعات vermagic به‌صورت کدگذاری به سرور خارجی مهاجم ارسال می‌شود.

۳. درصورتی‌که روت‌کیت باینری در هسته سرور وجود داشته باشد، همراه با فایل XorDDoS ELF به‌عنوان فایل .tar دانلود می‌شود.

۴. فایل .tar در دایرکتوری جدید بعد از اطلاعات رشته‌ای رمزگذاری‌شده hash MD5 vermagic به‌دست می‌آید. این فایل در محل \tmp روی دستگاه هدف ذخیره می‌شود. سپس روت‌کیت XorDDoS ELF اجرا می‌شود.

آموزش حذف تروجان لینوکسی XORDDoS از سرور لینوکسی
محافظت و پیشگیری دربرابر حمله تروجان لینوکسی XorDDoS

محافظت و پیشگیری دربرابر حمله تروجان لینوکسی XorDDoS

چند اقدامی که در‌ادامه بررسی خواهیم کرد، به شما کمک می‌کند تا از زیرساخت لینوکسی خود در‌برابر حمله‌های XorDDoS محافظت کنید. بدین‌ترتیب، استرس حذف تروجان XoRDDos از لینوکس را نیز نخواهید داشت.

۱. همه LOC‌های شبکه را مسدود کنید

پیش از هرکاری، دسترسی Root به SSH را با اِعمال LOC باید محدود کنید. حتی امکان دسترسی Root به SSH را به برخی از آی‌پی‌های مشخص دهید. مواردی که ممکن است بدافزار از‌طریق آن وارد شبکه شود، مانند فایروال و پروکسی و راهکارهای endpoint را مسدود کنید.

۲. ورودهای ناموفق را بررسی کنید

ازآن‌جا‌که بدافزار XorDDoS براساس عملکرد Burte Force روی سیستم لینوکس به SSH راه پیدا می‌کند، بسیار مهم است که تمام ورودهای ناموفق را بررسی کنید. سپس، مکان استقرار بدافزار مخرب XorDDoS را بیابید.

۳. سیستم‌عامل و نرم‌افزار را به‌روز نگه دارید

حتماً مطمئن شوید که از جدیدترین نسخه سیستم‌عامل استفاده می‌کنید. همچنین، تمامی به‌روزرسانی‌های امنیتی مربوط به نرم‌افزار را انجام دهید. به‌روزرسانی منظم کمک می‌کند تا سیستم شما در‌برابر مخرب‌های ناشناخته آسیب‌پذیر نباشد.

۴. راهکارهای ضدمخرب قوی پیاده‌سازی کنید

حتی زمانی که از آنتی‌ویروس‌های قدرتمند استفاده می‌کنید، احتمال نیاز به حذف تروجان XORDDoS در لینوکس نیز همچنان روی سرورتان وجود دارد. راهکارهای مختلفی برای قوی‌ترکردن بخش امنیتی سیستم وجود دارد؛ مانند غیرفعال‌کردن سرویس‌های غیرضروری و استفاده از آنتی‌ویروس و فایروال. فراموش نکنید که بهترین آنتی‌ویروس‌ها نیز ممکن است زمانی با حمله بدافزار bypass روبه‌رو شوند. تصور کنید اگر آنتی‌ویروس قوی روی سیستمتان نباشد، چه اتفاقی خواهد افتاد!

۵. از ابزارهای گزارش‌دهی تغییرات استفاده کنید

راهکار مؤثر دیگر استفاده از ابزارهایی است که به‌محض تغییر روی سیستم به شما گزارش می‌دهند. برای مثال، ابزاری مانند fail2ban لینوکس را می‌توانید به‌گونه‌ای تنظیم کنید تا درصورت بروز تغییر در فایل سیستم، به شما ایمیل ارسال کند. بدین‌ترتیب، با اقدامی به‌موقع برای حذف تروجان XORDDoS در لینوکس از پیشرفت آن جلوگیری خواهید کرد. به‌عنوان مثال، مایکروسافت به‌منظور جست‌وجوی پیشرفته محافظت‌کننده کوئری شامل دستور زیر طراحی کرده است که بدافزار را تشخیص می‌دهد:

DeviceLogonEvents
| where InitiatingProcessFileName == "sshd"
    and ActionType == "LogonFailed"
| summarize count() by dayOfYear = datetime_part("dayOfYear", Timestamp)
| sort by dayOfYear
| render linechart

جمع‌بندی

حذف تروجان XoRDDos از لینوکس را با هفت قدم ساده بررسی کردیم. XoR DDos حمله مخرب DDoS است که وارد سیستم می‌شود و بدون اینکه اثری از خود برجای بگذارد، حمله‌اش را انجام می‌دهد. در این مطلب از بلاگ پارس پک، تروجان لینوکسی XorDDoS و روش‌های حذف آن را بررسی کردیم. همچنین، نحوه حذف تروجان XoRDDos از لینوکس را توضیح دادیم و در آخر راهکارهایی برای محافظت در‌برابر آن معرفی کردیم.

بسیار اهمیت دارد که سیستم و نرم‌افزار شما از نسخه به‌روز استفاده کند تا در‌برابر حمله‌های مخرب‌ مقاوم باشد. امیدواریم این مقاله به شما در حذف و کنترل بدافزار XorDDoS کمک کرده باشد. آیا تا‌به‌حال ورود چنین بدافزاری به سیستم‌عاملتان را تجربه کرده‌اید؟ اگر سؤال یا تجربه‌ای در این زمینه دارید، در بخش نظرات با ما در میان بگذارید تا راهنمایی‌تان کنیم.

تروجان XorDDoS بدافزار مخربی است که از‌طریق حمله ناگهانی به SSH، هزاران سرور لینوکس را در یک زمان هدف قرار می‌دهد. این بدافزار از‌طریق دانلود فایل مخرب ELF از دستور curl استفاده می‌کند و بدون اینکه اثری از خود باقی بگذارد، قبل و بعد از ذخیره فایل تخریبش را انجام می‌دهد. این مطلب، نحوه حذف تروجان XoRDDos از لینوکس را با هفت راهکار ساده به شما نشان می‌دهد.

سؤالات متداول

۱. تروجان DDoS چیست؟

نوعی حمله مخرب است که از‌طریق سیستم آلوده DoS طراحی می‌شود.

۲. آیا تروجان XorDDoS امکان دسترسی از راه دور دارد؟

بله، این بدافزار از انواع مخرب‌هایی است که به مهاجم یا هکر امکان می‌دهد تا از راه دور دستورهایی را روی سیستم کاربر ارسال و اجرا کند.

۳. آیا VPN نوعی محافظت در‌برابر DDoS محسوب می‌شود؟

اغلب بله، VPN محافظ قوی برای حمله‌های DDoS روی سیستم شما به‌شمار می‌رود.

۴. XorDDoS لینوکس چیست؟

بدافزار تروجان لینوکسی با قابلیت روت‌کیت است که به‌عنوان حمله‌های DDoS در مقیاس بزرگ با استفاده از رمزگذاری Xor روی انواع سیستم‌های لینوکس استفاده می‌شود.

۵- نحوه حذف تروجان XoRDDos از لینوکس چگونه است؟

با استفاده از دستور kill می‌توانید فرایند را متوقف کرده و سپس با پیدا کردن فایل اصلی و حذف آن، تروجان را از بین ببرید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.