آموزش مرحله به مرحله حذف تروجان XorDDoS از سرور لینوکسی
در این مقاله میخوانید
حذف تروجان XoRDDos از لینوکس، سیستمتان را از شر بدافزارهای مخرب نجات خواهد داد. تروجان xorDDoS نوعی باتنت است که در سال ۲۰۱۴ کشف شد. بااینحال طبق گزارش شرکت مایکروسافت، در شش ماه اخیر سال ۲۰۲۲ جهشی بیش از ۲۵۰ موردی را تجربه کرده است. بهبیان بهتر، تروجان XorDDoS نوعی حمله رمزگذاریشده در سرور است که تنظیمات آن را تغییر میدهد و برای جلوگیری از شناسایی روتکیتی روی سرور نصب میکند. در این مقاله از بلاگ پارس پک، قصد داریم هفت مرحله سریع و راحت برای حذف تروجان XORDDoS در لینوکس را بررسی کنیم. پس از خواندن این مقاله، خواهید توانست علاوهبر حذف این تروجان مخرب، با راهکارهای مؤثر سیستمتان را دربرابر بدافزار مقاوم کنید.
خرید سرورهای لینوکس با قابلیت حذف XoRDDos از پارس پک
شما میتوانید از این مقاله برای مدیریت سرور لینوکس خود استفاده کنید و اگر قصد خرید سرویسهای لینوکسی پارس پک را دارید، میتوانید با کارشناسان فروش ما در ارتباط باشید. همچنین، شما میتوانید برای اطلاع از تعرفهها و هزینهها به لینکهای زیر مراجعه کنید.
آموزش حذف تروجان XoRDDos از لینوکس
حذف تروجان XoRDDos از لینوکس ممکن است کار سخت و پیچیدهای بهنظر برسد. اما با انجام چندین مرحله میتوانید بهراحتی سیستمتان را از شر بدافزارهای مخرب نجات دهید. درادامه نحوه حذف تروجان XoRDDos از لینوکس را بهصورت مرحله به مرحله آموزش میدهیم.
برای آشنایی با آموزش کامل انواع بدافزار و نحوه شناسایی و مقابله با آنها مقاله زیر را بخوانید.
مرحله اول: دستور TOP را وارد کنید
در اولین مرحله از نحوه حذف تروجان XoRDDos از لینوکس قصد داریم مطمئن شویم که تروجان در سیستم وجود دارد. برای این کار، ازطریق ابزار TOP وضعیت CPU را بررسی میکنیم. درصورتیکه فرایند یا فایلی با نام عجیب مانند hgmijazset مشاهده کردید که روی سرور در حال اجراست، از بدافزاری حکایت میکند که سرور شما را آلوده کرده است. نگاه دقیقی به اطلاعات تروجان مانند شماره PID بیندازید. به این اطلاعات نیاز پیدا خواهید کرد.
مرحله دوم: فرایند را دستور Kill متوقف کنید
در مرحله دوم حذف تروجان XoRDDos از لینوکس، نیاز است فرایند را با استفاده از PID Number که از تروجان مشاهده کردیم، متوقف کنیم. فراموش نکنید که امکان Killکردن کامل فرایند در این مرحله وجود ندارد؛ زیرا مجدداً با نامهای دیگری شروع به کار میکند. پس دستور زیر را فقط برای توقف این فرایند وارد کنید:
kill -STOP [pid-number]
مرحله سوم: محتویات پرونده با دستور nano مشاهده کنید
در مرحله بعدی، برای حذف تروجان XoRDDos از لینوکس میخواهیم ابتدا مسیر تروجان را پیدا کنیم. تروجان معمولاً در مسیر زیر یافت میشود:
cd / usr / lib
به این آدرس بروید و نام پرونده را در دستور nano وارد کنید تا محتوای آن مشاهدهشدنی شود:
nano file-name
نکته: به نحوه نگارش دستورهای نمایشدادهشده دقت کنید.
مرحله چهارم: پرونده دارای کدهای مشابه را با دستور RM حذف کنید
در این مرحله، میخواهیم تمام پروندههای موجود که از سبک دستور مشکوکی مانند دستور بالا برخوردارند، بهکمک دستور زیر حذف کنیم:
‘rm-f ‘file-name
بهجای file_name، نیاز است نام پروندههایی را وارد کنید که حاوی کدهای مشکوک هستند. در این مرحله، دقت کنید که پروندههای خود را بهاشتباه پاک نکنید.
مرحله پنجم: فایل اصلی را پیدا کنید
در مرحله پنجم از مسیر حذف تروجان XoRDDos از لینوکس، پس از اینکه فایلهای مشکوک را پاک کردید، حالا بهدنبال قاتل اصلی، یعنی فایل اصلی تروجان XorDDoS بگردید. اسم اصلی فایل معمولاً با libudev.so نمایش داده میشود؛ البته این اسم نیز همیشه صدق نمیکند.
برای راهنمایی دقیقتر، فایل را در فهرست دایرکتوری /lib میتوانید پیدا یا دستور زیر را وارد کنید:
Find / -type f -name libudev.so
مرحله ششم: حذف فایل اصلی تروجان و تغییر دسترسی با دستور corn
پس از پیداکردن فایل اصلی، آن را با استفاده از دستور rm-f حذف کنید. ازآنجاکه این دستور در cron سیستم قرار گرفته است، باید دسترسی آن را با دستور زیر تغییر دهید:
/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib
مرحله هفتم: فایل را بهطورکامل بررسی کنید
برای کامل کردن روال حذف تروجان XORDDoS در لینوکس، به پوشه /etc بروید و تمام فایلها و cronهای جدید را بررسی کنید. برای نمایش جدیدترین فایلها، میتوانید از دستور LS-LRT بهره ببرید. سپس فایلهایی با نام عجیبوغریب را بررسی و حذف کنید.
بدینترتیب، موفق شدید از شرّ تروجان XORDOS کاملاً راحت شوید. تروجانها معمولاً ازطریق حملههای ناگهانی Brute Force وارد سرور میشوند. در این شرایط، این احتمال وجود دارد که آنها به رمزهای شما دسترسی پیدا کرده باشند؛ بنابراین، بهتر است تمام رمزهای دسترسی به Root و ورود کاربران را تغییر دهید.
نحوه آلودگی سرور به بدافزار XorDDoS
تا این قسمت از مقاله نحوه حذف تروجان XoRDDos از لینوکس را بررسی کردیم. در این قسمت، نیاز است نحوه آلودگی سرور لینوکس به این بدافزار مخرب را بدانید. بدافزار XorDDoS معمولاً برای ایجاد روتکیت روی سرور ازطریق SSH وارد عمل میشود. SSH بهعنوان پروتکل برقراری ارتباط با سرور از راه دور، امکان نفوذ ناامن مخرب XorDDoS را فراهم میکند. این مخرب تلاش میکند تا ورودهای مجاز را با دسترسی به Root از بین ببرد. براساس گزارشها، XorDDoS از دو طریق میتواند حمله خود را روی سرور انجام دهد:
- کپیکردن فایل مخرب ELF و ذخیره آن در فایل موقت /dev/shm و اجرای فایل
- اجرای اسکریپت bash ازطریق بدافزار XorDDoS
برای حذف تروجان XoRDDos از لینوکس نیاز است با هر دو روش آلودگی سرور به این بدافزار آشنا شوید:
روش اول: کپیکردن فایل مخرب ELF و ذخیره آن در فایل موقت /dev/shm و اجرای فایل
در این روش، فایلهای نوشتهشده در /dev/shm برای انجام عملیات مخفی حذف میشوند. روال کار بهصورت زیر انجام میشود:
۱. شناسایی یکی از دایرکتوریهای نوشتنی
تروجان XorDDoS کارش را با شناسایی یکی از دایرکتوریهای موجود در فهرست زیر آغاز میکند:
- /bin
- /home
- /root
- /tmp
- /usr
پس از شناسایی این دایرکتوریهای نوشتنی، خود را به یکی از آنها تبدیل میکند.
۲. تغییر به یکی از دایرکتوریهای شناساییشده
بهمحض اینکه یکی از دایرکتوریهای بالا را شناسایی کرد، به آن تبدیل میشود و سپس شروع به دانلود فایل مخرب ELF میکند که از دامنهای خارجی بارگذاری شده است.
۳. ذخیره فایل
از فایل مخرب hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt با کمک دستور curl استفاده و آن را بهعنوان فایل دانلود ygljglkjgfg0 ذخیره میکند.
۴. تغییر حالت فایل بهصورت قابل اجرا
سپس، این بدافزار بهکمک دستور chmod فایل ذخیرهشده را به حالت اجرایی executable تبدیل میکند.
۵. اجرای فایل ELF
تروجان Xor DDoS، فایل ELF مخرب را در حافظه موقت dev/shm/ کپی کرده و سپس آن را اجرا میکند.
۶. تغییر نام ویجتهای باینری
در این مرحله، نام و لوکیشن ویجتهای باینری را تغییر میدهد تا طی استفاده بدافزار از ویجت، شناسایی نشود. در اینجا، نام ویجت را به good تغییر داده و به مکان زیر منتقل کرده است:
- mv /usr/bin/wget /usr/bin/good
- mv /bin/wget /bin/good
۷. دانلود مجدد فایل ELF
در این مرحله، مجدداً فایل بارگذاریشده ELF را با استفاده از فایل good بهجای ویجت باینری دانلود میکند.
۸. استفاده از تکنیک ضدشناسایی هویت
پس از اجرای فایل ELF با استفاده از بازنویسی محتواهای حساس، از تکنیک ضدشناسایی استفاده میکند تا فعالیتهای قبلیاش را پنهان کند. در جدول زیر، بخشی از آن را میبینید:
شرح | فایلهای حساس |
شامل دستورهایی که قبلاً اجرا شده است | /root/.bash_history |
شامل اطلاعات مربوط به ورود کاربران به سیستم | /var/log/wtmp |
شامل سابقه تلاش ناموفق برای ورود به سیستم | /var/log/btmp |
حاوی اطلاعات ورود اخیر کاربران به سیستم | /var/log/lastlog |
اطلاعات مربوط به امنیت مانند گزارشهای مربوط به ناکامی در احراز هویت | /var/log/secure |
حاوی اطلاعات مربوط به راهاندازی سیستم و پیام ثبتشده ازطریق فرایندهای راهاندازی سیستم است | /var/log/boot.log |
حاوی اطلاعات مربوط به راهاندازی cron | /var/log/cron |
حاوی پیامهای مربوط به سختافزار و درایو | /var/log/dmesg |
حاوی لاگهای فایروال | /var/log/firewalld |
حاوی اطلاعات سرور ایمیل که در سیستم اجرا میشود | /var/log/maillog |
پیامهای عمومی فعالیت سیستم | /var/log/messages |
پیامهای مربوط به usenet | /var/log/sooler |
پیامهای عمومی فعالیت سیستم | /var/log/syslog |
پیامهای مربوط به نصب و حذف و بهروزرسانی ازطریق ابزار yum | /var/log/yum.log |
هرکدام از راههای دسترسی استفاده شود، نتیجه یکسان است. فایل مخرب ELF ناشی از بدافزار XorDDoS اجرا خواهد شد.
برای آشنایی با مراحل ایجاد احراز هویت دومرحلهای برای SSH در لینوکس مقاله زیر را بخوانید.
روش دوم: اجرای اسکریپت bash با بدافزار XorDDoS
برای درک دقیقتر نحوه حذف تروجان XoRDDos از لینوکس سراغ روش دوم آلودگی سرور میرویم. در این روش، بدافزار هسته اصلی دستگاه هدف را با روتکیت موجود روی دستور و فرمان سرور یا C2 تطبیق میدهد. اگر روتکیت مدنظر در دستگاه وجود داشته باشد، اسکریپت آن را دانلود میکند. بدینترتیب، در این روش مراحل زیر را پیش میبرد:
۱. اسکریپت bash اطلاعات مربوط به دستگاه را با دستور زیر دریافت و به سرور خارجی ارسال میکند:
- استفاده از lsmod with tail برای دریافت فهرست ماژولهای هسته لینوکس
- استفاده از Modinfo برای استخراج عدد vermagic حاوی رشته اطلاعات شماره نسخه هسته و نوع ماژول CPU
۲. اطلاعات vermagic بهصورت کدگذاری به سرور خارجی مهاجم ارسال میشود.
۳. درصورتیکه روتکیت باینری در هسته سرور وجود داشته باشد، همراه با فایل XorDDoS ELF بهعنوان فایل .tar دانلود میشود.
۴. فایل .tar در دایرکتوری جدید بعد از اطلاعات رشتهای رمزگذاریشده hash MD5 vermagic بهدست میآید. این فایل در محل \tmp روی دستگاه هدف ذخیره میشود. سپس روتکیت XorDDoS ELF اجرا میشود.
محافظت و پیشگیری دربرابر حمله تروجان لینوکسی XorDDoS
چند اقدامی که درادامه بررسی خواهیم کرد، به شما کمک میکند تا از زیرساخت لینوکسی خود دربرابر حملههای XorDDoS محافظت کنید. بدینترتیب، استرس حذف تروجان XoRDDos از لینوکس را نیز نخواهید داشت.
۱. همه LOCهای شبکه را مسدود کنید
پیش از هرکاری، دسترسی Root به SSH را با اِعمال LOC باید محدود کنید. حتی امکان دسترسی Root به SSH را به برخی از آیپیهای مشخص دهید. مواردی که ممکن است بدافزار ازطریق آن وارد شبکه شود، مانند فایروال و پروکسی و راهکارهای endpoint را مسدود کنید.
۲. ورودهای ناموفق را بررسی کنید
ازآنجاکه بدافزار XorDDoS براساس عملکرد Burte Force روی سیستم لینوکس به SSH راه پیدا میکند، بسیار مهم است که تمام ورودهای ناموفق را بررسی کنید. سپس، مکان استقرار بدافزار مخرب XorDDoS را بیابید.
۳. سیستمعامل و نرمافزار را بهروز نگه دارید
حتماً مطمئن شوید که از جدیدترین نسخه سیستمعامل استفاده میکنید. همچنین، تمامی بهروزرسانیهای امنیتی مربوط به نرمافزار را انجام دهید. بهروزرسانی منظم کمک میکند تا سیستم شما دربرابر مخربهای ناشناخته آسیبپذیر نباشد.
۴. راهکارهای ضدمخرب قوی پیادهسازی کنید
حتی زمانی که از آنتیویروسهای قدرتمند استفاده میکنید، احتمال نیاز به حذف تروجان XORDDoS در لینوکس نیز همچنان روی سرورتان وجود دارد. راهکارهای مختلفی برای قویترکردن بخش امنیتی سیستم وجود دارد؛ مانند غیرفعالکردن سرویسهای غیرضروری و استفاده از آنتیویروس و فایروال. فراموش نکنید که بهترین آنتیویروسها نیز ممکن است زمانی با حمله بدافزار bypass روبهرو شوند. تصور کنید اگر آنتیویروس قوی روی سیستمتان نباشد، چه اتفاقی خواهد افتاد!
۵. از ابزارهای گزارشدهی تغییرات استفاده کنید
راهکار مؤثر دیگر استفاده از ابزارهایی است که بهمحض تغییر روی سیستم به شما گزارش میدهند. برای مثال، ابزاری مانند fail2ban لینوکس را میتوانید بهگونهای تنظیم کنید تا درصورت بروز تغییر در فایل سیستم، به شما ایمیل ارسال کند. بدینترتیب، با اقدامی بهموقع برای حذف تروجان XORDDoS در لینوکس از پیشرفت آن جلوگیری خواهید کرد. بهعنوان مثال، مایکروسافت بهمنظور جستوجوی پیشرفته محافظتکننده کوئری شامل دستور زیر طراحی کرده است که بدافزار را تشخیص میدهد:
DeviceLogonEvents | where InitiatingProcessFileName == "sshd" and ActionType == "LogonFailed" | summarize count() by dayOfYear = datetime_part("dayOfYear", Timestamp) | sort by dayOfYear | render linechart
جمعبندی
حذف تروجان XoRDDos از لینوکس را با هفت قدم ساده بررسی کردیم. XoR DDos حمله مخرب DDoS است که وارد سیستم میشود و بدون اینکه اثری از خود برجای بگذارد، حملهاش را انجام میدهد. در این مطلب از بلاگ پارس پک، تروجان لینوکسی XorDDoS و روشهای حذف آن را بررسی کردیم. همچنین، نحوه حذف تروجان XoRDDos از لینوکس را توضیح دادیم و در آخر راهکارهایی برای محافظت دربرابر آن معرفی کردیم.
بسیار اهمیت دارد که سیستم و نرمافزار شما از نسخه بهروز استفاده کند تا دربرابر حملههای مخرب مقاوم باشد. امیدواریم این مقاله به شما در حذف و کنترل بدافزار XorDDoS کمک کرده باشد. آیا تابهحال ورود چنین بدافزاری به سیستمعاملتان را تجربه کردهاید؟ اگر سؤال یا تجربهای در این زمینه دارید، در بخش نظرات با ما در میان بگذارید تا راهنماییتان کنیم.
تروجان XorDDoS بدافزار مخربی است که ازطریق حمله ناگهانی به SSH، هزاران سرور لینوکس را در یک زمان هدف قرار میدهد. این بدافزار ازطریق دانلود فایل مخرب ELF از دستور curl استفاده میکند و بدون اینکه اثری از خود باقی بگذارد، قبل و بعد از ذخیره فایل تخریبش را انجام میدهد. این مطلب، نحوه حذف تروجان XoRDDos از لینوکس را با هفت راهکار ساده به شما نشان میدهد.
سؤالات متداول
۱. تروجان DDoS چیست؟
نوعی حمله مخرب است که ازطریق سیستم آلوده DoS طراحی میشود.
۲. آیا تروجان XorDDoS امکان دسترسی از راه دور دارد؟
بله، این بدافزار از انواع مخربهایی است که به مهاجم یا هکر امکان میدهد تا از راه دور دستورهایی را روی سیستم کاربر ارسال و اجرا کند.
۳. آیا VPN نوعی محافظت دربرابر DDoS محسوب میشود؟
اغلب بله، VPN محافظ قوی برای حملههای DDoS روی سیستم شما بهشمار میرود.
۴. XorDDoS لینوکس چیست؟
بدافزار تروجان لینوکسی با قابلیت روتکیت است که بهعنوان حملههای DDoS در مقیاس بزرگ با استفاده از رمزگذاری Xor روی انواع سیستمهای لینوکس استفاده میشود.
۵- نحوه حذف تروجان XoRDDos از لینوکس چگونه است؟
با استفاده از دستور kill میتوانید فرایند را متوقف کرده و سپس با پیدا کردن فایل اصلی و حذف آن، تروجان را از بین ببرید.