前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >预警 | 中招 watchdogs 感染性挖矿病毒,如何及时止损?

预警 | 中招 watchdogs 感染性挖矿病毒,如何及时止损?

作者头像
腾讯云安全
修改2019-05-17 14:40:55
1.1K0
修改2019-05-17 14:40:55
举报
文章被收录于专栏:腾讯云安全的专栏

近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。

腾讯云安全团队建议您及时开展自查并进行升级修复,避免业务和经济损失。

0. 风险详情

根据腾讯云安全团队的分析,遭受攻击的机器会被修改 crontab 任务、执行挖矿操作,系统 netstat 等文件被篡改删除,同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器,严重影响业务正常运行甚至导致奔溃,给企业带来不必要的损失。

1. 风险等级

高风险

2. 问题影响

该病毒主要影响 Linux 机器,消耗主机资源进行挖矿。

3. 修复建议

情况1——Redis 未授权访问:

1、为 Redis 添加密码验证(重启 Redis 才能生效);

2、禁止外网访问 Redis(重启 Redis 才能生效);

3、以低权限运行Redis服务(重启 Redis 才能生效)。

详细操作请参考:

http://bbs.qcloud.com/thread-30706-1-1.html

情况2——内网感染:

1、建议不要将连接机器的私钥直接放在服务器上,如有必要建议添加密码;

2、建议通过有限的机器作为跳板机实现对其他内网机器的访问,避免所有机器的随意互联互通,跳板机不要部署相关可能存在风险的服务和业务。

4. 挖矿木马清理方法

1、删除恶意动态链接库 /usr/local/lib/libioset.so;

2、排查清理 /etc/ld.so.preload 中是否加载1中的恶意动态链接库;

3、清理 crontab 异常项,删除恶意任务(无法修改则先执行5-a);

4、kill 挖矿进程;

5、排查清理可能残留的恶意文件;

a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b. chkconfig watchdogs off

c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

6、相关系统命令可能被病毒删除,可通过包管理器重新安装或者其他机器拷贝恢复;

7、 由于文件只读且相关命令被 hook,需要安装 busybox 通过 busybox rm 命令删除;

8、部分操作需要重启机器生效。

腾讯云安全团队将会继续跟踪,输出事件和病毒相关分析,扫描下方二维码并关注,静待更详细的分析。

题图来源:网络搜索

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-02-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯云安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云数据库 Redis
腾讯云数据库 Redis(TencentDB for Redis)是腾讯云打造的兼容 Redis 协议的缓存和存储服务。丰富的数据结构能帮助您完成不同类型的业务场景开发。支持主从热备,提供自动容灾切换、数据备份、故障迁移、实例监控、在线扩容、数据回档等全套的数据库服务。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档