VietNetwork.Vn

S99local, sfewfesfs, .SSH2, .SSHH2, .sshdd1412228460, .sshhdd1412228461, smarvtd
1. Cái này không biết gọi nó là gì nên mình gọi tạm là kẻ xâm nhập (intruder).

Lý do chính để kẻ xâm nhập này lọt được vào server và hoành hành là do các bạn đặt mật khẩu root quá dễ, chẳng hạn như: 123456 ... Để chứng minh điều này thì mình sẽ đính kèm theo file mà bot của hackers sử dụng để thâm nhập vào server một cách dễ dàng.


2. Nhưng trước hết mình sẽ nói về kẻ xâm nhập S99local.

2.1 Xóa các tập tin nhị phân (binay) mà kẻ xâm nhập này sử dụng.

• Chuyển vào thư mục  /etc/rcX.d/S99local
• X là các số như 2, 3, 4, 5, 6, ... mà kẻ xâm nhập đã tạo trên hệ thống.
• Trước khi xóa thì các bạn cũng nên copy một bản về máy để nghiên cứu nội dung của nó. Bạn có thể dễ dàng thấy nội dung của nó là gọi và thực thi các tập tin binary thành các tiến trình (process) tấn công chạy trên server.

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr
Lưu ý: Khuyến cáo các bạn xóa luôn file này /etc/rc.d/rc.local

2.2 Sau khi xóa các file trên thì các bạn tiếp tục xóa luôn các tiến trình đang chạy tấn công trên server.

• Xóa file này: /etc/ssh/sshpa

• Nó là nơi tạo ra các file  /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, /etc/sfewfesfs
• Xóa các tiến trình hiện đang có. Sử dụng lệnh top để xem các tiến trình chiếm tài nguyên - cái này chắc biết rồi hén.
• tmp/.sshddxxxxxxxxxx, /etc/.SSH2, /etc/sfewfesfs
• Xoá lập tức các file có liên quan:  /etc/ssh/sshpa, /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, /etc/sfewfesfs
• Và cũng không quên sử dụng lệnh top để xem có còn tiến trình nào chiếm tài nguyên, tấn công từ kẻ xâm nhập này gây ra nữa không.

2.3 Cuối cùng là đổi mật khẩu khó nhiều vào nha các bạn.

Update hệ thống, sử dụng anti virus để scan hệ thống.

3. Đính kèm theo file mà bot của hackers sử dụng để thâm nhập vào server một cách dễ dàng.

Cái này khi nào có dịp thì mình sẽ nói thêm. Giờ mình phải cày ruộng tiếp đây.