Crypto-Pool Virüsü Mü Bulaşmış?
-
Test için bir vps'im vardı. Bugün htop çekip neler oluyor diye bakayım dedim ve aşağıki gibi bir takim process'ler gördüm. daha önce crypto-pool filan kurmadım. şifre benden başka kimsede yok, ayrıca sunucu şifreside random üretilen şifre. çalıştıran kullanıcı postgres gözüküyor.
Şimdi, linux konusunda pek bilgim yok. bu bir virus mü? virusse nasıl temizleyebilirim?
http://prntscr.com/fotzaq
-
tmp altindaki mpool dosyasini sil
biri sunucuya girip coim minig yaptiriyor.
-
AbdullahAzad bunu yazdı
tmp altindaki mpool dosyasini sil
biri sunucuya girip coim minig yaptiriyor.
bunu nasıl engelleyebilirim. galiba sistemdeki birşeylerden açık var gibi?
-
TeRRoR bunu yazdıAbdullahAzad bunu yazdı
tmp altindaki mpool dosyasini sil
biri sunucuya girip coim minig yaptiriyor.
bunu nasıl engelleyebilirim. galiba sistemdeki birşeylerden açık var gibi?
hocam yüklediğin bi uygulama oyun vb.. den bulaşmış olabilir sanırım linux kullanıyorsun o yüzden pek bilgim yok ama aramızda kernel bug fix yapıp anonim olarak gönderen kişiler var onların engin tecrübelerini paylaşması yararlı olacaktır.
-
terror bı gavatın cragını ındırdıgım ıcın benzer bırseyler karsılasmıstım ben de linuxta nasıl yaparsın bılmyrm da windows ıcın zaten cozumler mevcut
task managerden gır bak abı ne engellıyor o sekılde cozmeye calıs
-
TMP klasörünün izinlerini atar mısın buraya hocam ? Belki executable iznini kaldırırsan çalıştıramazlar.
SambaCry açığı var mı yok mu kontrol et birde Kernel update et hocam.
0x656e tarafından 28/Haz/17 09:30 tarihinde düzenlenmiştir -
0x656e bunu yazdı
TMP klasörünün izinlerini atar mısın buraya hocam ? Belki executable iznini kaldırırsan çalıştıramazlar.
SambaCry açığı var mı yok mu kontrol et birde Kernel update et hocam.
# file: tmp
# owner: root
# group: root
# flags: --t
user::rwx
group::rwx
other::rwx
yukardaki gibi tmp izinleri. şimdi kernel update denicem. linux den pek çakmadığım için windows gibi de bakamıyorum herşeye. ekran görüntüsünde postgres kullanıcısı çalıştırdığını görünce postgre üzerinden bir açıktan faydalanabileceklerini düşünmüştüm. şimdilik process'leri kill ettim. ve tmp den müridin söylediği dosyayı sildim. ama enteresan yani
-
TeRRoR bunu yazdı0x656e bunu yazdı
TMP klasörünün izinlerini atar mısın buraya hocam ? Belki executable iznini kaldırırsan çalıştıramazlar.
SambaCry açığı var mı yok mu kontrol et birde Kernel update et hocam.
# file: tmp
# owner: root
# group: root
# flags: --t
user::rwx
group::rwx
other::rwx
yukardaki gibi tmp izinleri. şimdi kernel update denicem. linux den pek çakmadığım için windows gibi de bakamıyorum herşeye. ekran görüntüsünde postgres kullanıcısı çalıştırdığını görünce postgre üzerinden bir açıktan faydalanabileceklerini düşünmüştüm. şimdilik process'leri kill ettim. ve tmp den müridin söylediği dosyayı sildim. ama enteresan yani
Hocam SUID Bit de var executable da var baktım defaultta benimkide öyle. Postgresin default kullanıcısınıda inaktif edin.
https://debian-administration.org/article/57/Making_/tmp_non-executable