Quasar Linux (QLNX) Genel Bakış
Quasar Linux (QLNX), özellikle yazılım geliştiricilerin iş istasyonlarını hedef alan, gelişmiş rootkit, backdoor ve kimlik bilgisi hırsızlığı yeteneklerine sahip, belgelenmemiş yeni bir Linux zararlı yazılımıdır. Sistem üzerinde kalıcılık sağlamak ve ağ trafiğini gizlemek için karmaşık yöntemler kullanır.
Tespit Yöntemleri
QLNX, sistem dosyalarına sızarak kendini gizleme yeteneğine sahiptir. Bu nedenle standart süreç listeleri yanıltıcı olabilir. Aşağıdaki adımları izleyerek sisteminizde şüpheli aktiviteleri kontrol edebilirsiniz.
- Sistemdeki şüpheli ağ bağlantılarını listeleyin.
- Çalışan süreçleri (process) ve dosya sistemi değişikliklerini inceleyin.
- Rootkit varlığını kontrol etmek için sistem çağrılarını gözlemleyin.
# Şüpheli ağ bağlantılarını kontrol et
netstat -tulpn | grep -E 'ESTABLISHED|LISTEN'
# Şüpheli süreçleri listele
ps auxf --sort=-%cpu
# Dosya sistemi bütünlüğünü kontrol et (örneğin AIDE ile)
aide --checkUyarı: Eğer sisteminizde QLNX tespit edilirse, sistemin tamamen izole edilmesi ve imajının alınarak adli bilişim incelemesi yapılması önerilir.
Müdahale ve Temizleme Adımları
Zararlı yazılımın sistemden temizlenmesi oldukça zordur çünkü rootkit yetenekleri sayesinde kendini silme komutlarından koruyabilir. En güvenli yöntem, sistemin yeniden kurulmasıdır.
- Sistemi ağdan tamamen izole edin.
- Kritik verilerinizi yedekleyin (ancak çalıştırılabilir dosyaları yedeklemeyin).
- Sistemi temiz bir ortamdan yeniden kurun.
- Tüm SSH anahtarlarını ve API token'larını geçersiz kılarak yenileyin.
# SSH anahtarlarını listele
ls -la ~/.ssh/
# Şüpheli anahtarları sil
rm ~/.ssh/authorized_keys
ssh-keygen -t ed25519 -C "yeni_anahtar"Geliştiriciler için en önemli savunma hattı, üçüncü taraf kaynaklardan indirilen paketlerin doğrulanmasıdır. Sadece resmi ve güvenilir depo (repository) kaynaklarını kullanın.
