minerd virüsü linux

Arkadaşlar başlığa başka bir tanım bulamadım. Sunucumu SSH ile kontrol ettiğimde loadları yükselten bir command farkettim

./minerd --url=stratum+tcp://us1.garudapool.com:3333 --userpass=andresheva.andre:120482


bir kaç gündür bu komutun dosyasını bularak siliyor ve reboot ediyorum. Hatta ilgili kullanıcılardaki wordpress temalarını vs sildim. Sabah kalkıyorum bakıyorum 1-2 domainde yine bu komut çalışmaya başlamış.

Sunucuya format atmadan kurtulabilmem için önerisi olan var mı?

Muhtemelen sunucuda bir açığınız var ki andre isimli arkadaş sunucunuza ulaşıp kodu çalıştırıyor.

Bitcoin ile alakalı bir virüs diye takmin ediyoruz. Kullanıcı adına sahip user bitcoin kasıyor sanırım kendisine firewall kullanıp dışarıya bağlantıyı kapatmak lazım

NOT: Firewall bu aşamada devre dışı, yazılım 80 portu üzerinden çalışıyor.

İlgili hesapları kaldırdık. Wordpress'ten bu yüzden nefret ediyorum. Bir yerlerde mutlaka bir şeyler gözden kaçıyor. En güzeli kendi sistemini kendin yazacaksın. Hata olduğunda da bulman kolay olacak. Başkalarının da hatayı bulması zor olacak.

Bu hazır sistemlerdeki açıklar keşfedilmeye görsün. Yaz google'a, yüzlerce aynı açığa sahip site sıralanıyor. Tabii herkesin kendi sistemini yazma lüksü yok farkındayım ama insan sinir oluyor. Zaman kazanayım derken yok yere bir sürü angarya işle zaman kaybediyorsun.

Konuyu özellikle açtım. Benzer sıkıntıya düşen birileri olursa belki faydalanabilecekleri yorumlar bulur.

Benzer örnekler,sorunlar ve çözümleri varsa lütfen yazın. Başınıza gelenleri paylaşırsanız eminim bir çok insana faydalı olacaktır.

Teşekkürler...

Sorun bizim bir serverimizda mevcut dün itibari ile bakım çalışması yaparak sorunu ortadan kaldırdık. Ufak bir .PHP enjekte ederek consola kadar girmeyi başarmış bitcoin üreticiler. Serveri para basmak için kullanıyorlar bulmuşlar tabii canavar gibi serveri sabaha kadar para basıyorlar içerisinde

Şöyle ki, opencard, magento, wordpress ve joomla gibi yazılımların /images , /template, dizinleri içerisinde p53.php, 42a.php şeklinde 3 karakterden olulaşan, müşterinin bilgisi dışında bir .PHP uzantısı yer alıyor. /images dizinin CHMOD değeri 777 olduğu için bu sistemlerde ki açıkları kullanarak rahat bir şekilde bu .PHP leri yükleyip çalıştırabiliyorlar.
İşin ilginç yanı firewallı da tespit edip :80 portundan bağlantı yapıyorlar. Normalde tüm portlar bloklu.

Ayriyetten index.php ve index.html dosyalarının içerisinde şifrelenmiş bir takip js kodlarından oluşan bir satırda ejekte edebiliyorlar.

Bu adımları ilk öncelikle takip edip, sorunu tespit etmek önemli.

Sorunun kısmi çözümü ise; bu /images aldınta ki .PHP uzantıları temizlemek ve CHMOD değeri 757 olarak güncellemek.

Bu virüsler normal ev kullanıcısı bilgisayara bize sızmışlar. Şu an için biz bu sorunu aştık fakat aynı sorunu yaşayan firmalar olursa alternatif çözümler önerebilirler.