服务热线: 0371-65995777
   
 
关于watchdogs挖矿病毒的安全预警
文章来源 :大数据通信      发布时间 :2019/2/25 10:26:42
 

一、概要

近日,大数据通信检测到互联网出现watchdogs挖矿病毒,被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用Redis未授权访问和SSH弱口令等方式入侵服务器并通过内外网扫描感染更多机器,严重影响业务正常运行甚至导致崩溃。

大数据通信提醒各位租户及时安排自检并做好安全加固。


二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)


三、影响范围

对互联网开放,并存在Redis未授权访问和SSH弱口令漏洞的主机可能被感染病毒


四、排查和处置方法

排查方法:

1.  Redis未授权访问:

   设置安全组,禁止外网访问 Redis(重启Redis才能生效)

   Redis是否以无密码或弱密码进行验证,请添加强密码验证(重启Redis才能生效);

   Redis服务是否以root账户运行,请以低权限运行Redis服务(重启Redis才能生效);

2.  SSH弱口令:

   设置安全组,禁止SSH对互联网开放或者点对点开放;

   SSH访问设置为秘钥访问或者设置为强口令。

处置方法:

若发现主机被入侵感染,请按照以下方法进行处置

1.  隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;

2.  清理未知计划任务;

3.  删除恶意动态链接库 /usr/local/lib/libioset.so

4.  排查清理 /etc/ld.so.preload 中是否加载1中的恶意动态链接库;

5.  清理 crontab 异常项,删除恶意任务(无法修改则先执行5-a)

6.  终止挖矿进程;

7.  排查清理可能残留的恶意文件;

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8.  相关系统命令可能被病毒删除,可通过包管理器重新安装或者其他机器拷贝恢复;

9.  由于文件只读且相关命令被 hook,需要安装 busybox 通过 busybox rm 命令删除;

10. 重启机器。

注意:修复漏洞前请将资料备份,并进行充分测试。