ลงทะเบียน
ใกล้กัน ช่วยให้คุณแชร์เรื่องราวต่างๆ กับผู้คนมากมาย

โดย

libudev.so คือไฟล์ไวรัส DDoS ที่ใช้ Linux Server เป็นฐานการโจมตีโดยยิงแพคเกจจำนวนมหาศาลไปยังโฮสปลายทาง เมื่อวันที่ 7 เมษายน 2561 ทำให้โฮส Digital Ocean ล่มไป 4 เครื่อง จากนั้นเมื่อวันที่ 8 เมษายน 2561 จึงสั่งปิดพอร์ต 8083 บน Digital Ocean ทั้งหมดทันที

 

ตัวอย่างการลบ libudev.so บน CentOS 7 มีดังนี้

#คุณผู้อ่านต้องพิมพ์คำสั่งในคอมมานด์ผ่าน Putty >

 

อันดับแรกหาชื่อไวรัสก่อนด้วยคำสั่งนี้ (ปกติชื่อไวรัสจะเป็นแบบสุ่มหากเจอชื่อแปลก ๆ ใช่เลย)
ls -lt /usr/bin/ | head
#เจอ altqdiehbh

ls -lt /etc/init.d/ | head
#เจอ altqdiehbh

 

หมายเหตุ: altqdiehbh คือชื่อไวรัสทุกเครื่องจะไม่ซ้ำกัน

FILE=altqdiehbh

chmod 0 /lib/libudev.so
echo '0' > /lib/libudev.so
  pkill altqdiehbh
   rm /etc/cron.hourly/gcc.sh
   pkill altqdiehbh
   rm /etc/init.d/$FILE
   pkill altqdiehbh
   rm /etc/rc1.d/S90$FILE
   rm /etc/rc2.d/S90$FILE
   rm /etc/rc3.d/S90$FILE
   rm /etc/rc4.d/S90$FILE
   rm /etc/rc5.d/S90$FILE
   pkill altqdiehbh
   rm /run/systemd/generator.late/graphical.target.wants/$FILE.service
   pkill altqdiehbh
   rm /run/systemd/generator.late/multi-user.target.wants/$FILE.service
   pkill altqdiehbh
   rm /run/systemd/generator.late/rescue.target.wants/$FILE.service
   pkill altqdiehbh
   rm /run/systemd/generator.late/$FILE.service
   SHELL=/bin/sh
   PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
   pkill altqdiehbh
   echo '0' > /usr/bin/$FILE
   rm /usr/bin/$FILE
   echo '0' > /etc/init.d/$FILE
   rm /etc/init.d/$FILE
   rm /lib/libudev.so

   vi /etc/crontab
   */3 * * * * root /etc/cron.hourly/gcc.sh
#ลบบรรทัดด้านบนออกเป็นอันเสร็จเรียบร้อย ทดสอบแล้ว 100%

 

แนะนำกันไว้ดีกว่าแก้ให้ติดตั้ง ClamAV ป้องกันไวรัสจากเว็บ: https://www.clamav.net/

 

========================

Here is what we know so far:
1. The first wave happened on April 4. Servers were infected with /etc/cron.hourly/gcc.sh
2. It was an automated hack
3. CentOS, Debian, Ubuntu all distros are affected it's platform independent
4. We didn't find any traces in vesta and system logs yet
5. On April 7 infected servers started to DDoS remote hosts using /usr/lib/libudev.so.

 

ขอบคุณที่มา:

https://www.digitalocean.com/community/questions/how-do-i-determine-the-impact-of-vestacp-vulnerability-from-april-8th-2018
https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver
http://tecnix.in/index.php/2017/03/27/unix-trojan-ddos_xor-1-removal-steps/

 

คำค้น: การลบ libudev.so บน Vesta Control Panel
รายงานบทความนี้
Captcha Challenge
ลองรูปภาพใหม่
Type in the verification code above