火网互联--常见问题帮助中心!

火网互联IDC咨询中心-建站帮助教程|vps面板|vps问题|腾讯云问题|服务器问题|美国空间|美国空间购买|美国虚拟主机|高防空间|腾讯云|香港空间

当前位置: 主页 > 安全 >

【安全预警】关于linux watchdogs感染性挖矿病毒的通知

时间:2019-02-22 15:23来源:腾讯云 作者:腾讯云 点击:
尊敬的腾讯云客户,您好: 近日,腾讯云安全团队监测到 部分云上及外部用户被植入watchdogs挖矿病毒,出现crontab任务异常、系统文件被删除、CPU异常等情况,并且会自动感染更多机器,攻击者主要利用Redis未授权访问入侵服务器并通过内网扫描和known_hosts历
尊敬的腾讯云客户,您好:
  近日,腾讯云安全团队监测到部分云上及外部用户被植入watchdogs挖矿病毒,出现crontab任务异常、系统文件被删除、CPU异常等情况,并且会自动感染更多机器,攻击者主要利用Redis未授权访问入侵服务器并通过内网扫描和known_hosts历史登录尝试感染更多机器
      腾讯云安全中心建议您及时开展自查并进行升级修复,避免业务和经济损失。
 
【风险详情】
  根据腾讯云安全团队的分析,遭受攻击的机器会被修改crontab任务、执行挖矿操作、系统netstat等文件被篡改删除,同时会进一步遍历known_hosts中历史登录记录进行感染更多机器。
 
【风险等级】
   高风险
 
【问题影响】
   远程控制主机,消耗主机资源进行挖矿
 
【修复建议】
   Redis未授权访问:
   1)为 Redis 添加密码验证(重启Redis才能生效)
   2)禁止外网访问 Redis(重启Redis才能生效)
   3)以低权限运行Redis服务(重启Redis才能生效)
   详细操作请参考:http://bbs.qcloud.com/thread-30706-1-1.html

   内网感染:
   1)建议不要将连接机器的私钥直接放在服务器上,如有必要建议添加密码
   2)建议通过有限的机器作为跳板机实现对其他内网机器的访问,避免所有机器的随意互联互通,跳板机不要部署相关可能存在风险的服务和业务;

【挖矿木马清理方法】
   1)删除恶意动态链接库/usr/local/lib/libioset.so
   2)排查清理/etc/ld.so.preload中是否加载1中的恶意动态链接库
   3)清理crontab异常项,删除恶意任务(无法修改则先执行5-a)
   4)kill 挖矿进程
   5)排查清理可能残留的恶意文件
   a. chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
   b. chkconfig watchdogs off
   c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
   7)相关系统命令可能被病毒删除,可通过包管理器重新安装或者其他机器拷贝恢复
   8) 由于文件只读且相关命令被hook,需要安装busybox通过busybox rm命令删除
   9)部分操作需要重启机器生效

   我们将会继续跟踪,输出事件和病毒相关分析,欢迎关注【云鼎实验室】公众号静待更详细的分析。




(责任编辑:admin)
顶一下
(2)
100%
踩一下
(0)
0%
------分隔线----------------------------