太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    紧急预警!WatchDogsMiner挖矿蠕虫大量感染Linux服务器

    来源:本站整理 作者:佚名 时间:2019-02-26 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,且较难清理。
    深信服安全团队将其命名为WatchDogsMiner,并紧急发布预警,提醒企业用户及时开展自查修复,防范WatchDogsMiner挖矿蠕虫。
    病毒名称:WatchDogsMiner
    病毒性质:挖矿蠕虫
    影响范围:国内不少用户受感染,包括公有云用户
    危害等级:高危
    传播方式:基于Redis未授权访问、集成SSH爆破实现内外网的蠕虫式传播。
     
    如何确认是否中毒
    通过服务器终端进行检查发现部分常用命令被删除后出现未找到命令:

    authorized_keys文件被清空无法使用免密登录:

    系统内置的mail邮箱也出现相关的通知类邮件,查看发现有定时任务的通知与相关的命令:

    在计划任务的相关路径下发现一个root的计划任务:

    使用深信服安全感知平台的用户,安全感知平台主动提示主机出现虚拟货币挖矿、数据库扫描、SSH暴力破解等多个安全事件:

     
    病毒分析
    [1] WatchDogsMiner整体比较复杂,病毒母体为一个sh脚本,来自pastebin.com/raw/sByq0rym
    [2] sh脚本主要做了两个操作,净化主机环境,然后下载并运行挖矿病毒体。
    [3] 挖矿病毒是一个elf文件,从thyrsi.com/t6/672/1550667479x1822611209.jpg处下载得到。
    [4] 挖矿病毒使用go语言编写,病毒会通过SSH和Redis未授权访问进行传播,然后以守护进程的方式进行挖矿,挖矿的币种为门罗币。

    WatchDogsMiner挖矿毒体分析
    WatchDogsMiner病毒程序是由go语言编写的elf文件,程序包含了网络通信模块、加密算法、Redis攻击、SSH暴力破解、挖矿等自实现功能。
    详细分析如下:
    启动,执行pastebin上保存的母体脚本:


    将挖矿模块写入/tmp/ksoftirqds并执行。
    Redis攻击模块:


    SSH暴力破解模块:

    母体脚本功能分析
    定时指定链接,执行母体脚本,并结束其他挖矿进程:

    修改所需要操作的目录属性,删除定时任务及服务,清理billgates病毒相关进程和文件:

    更新挖矿木马:

    最后进行清理工作:

    解决方案
    WatchDogsMiner病毒清理:
    1、删除恶意动态链接库 /usr/local/lib/libioset.so;
    2、清理 crontab 异常项,删除恶意任务(无法修改则先执行4-a);
    3、使用kill命令终止挖矿进程;
    4、排查清理残留的病毒文件;

    [1] [2]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载