用户
搜索
  • TA的每日心情
    开心
    2018-12-25 11:26
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    21

    主题

    29

    帖子

    301

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2018-6-12

    i春秋认证

    发表于 2019-2-22 20:04:57 011095
    近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。

    腾讯云安全团队建议您及时开展自查并进行升级修复,避免业务和经济损失。

    0. 风险详情

    根据腾讯云安全团队的分析,遭受攻击的机器会被修改 crontab 任务、执行挖矿操作,系统 netstat 等文件被篡改删除,同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器,严重影响业务正常运行甚至导致奔溃,给企业带来不必要的损失。
    1. 风险等级

    高风险

    2. 问题影响

    该病毒主要影响 Linux 机器,消耗主机资源进行挖矿。

    3. 修复建议

    情况1——Redis 未授权访问:

    1、为 Redis 添加密码验证(重启 Redis 才能生效);
    2、禁止外网访问 Redis(重启 Redis 才能生效);
    3、以低权限运行Redis服务(重启 Redis 才能生效)。

    详细操作请参考:http://bbs.qcloud.com/thread-30706-1-1.html

    情况2——内网感染:

    1、建议不要将连接机器的私钥直接放在服务器上,如有必要建议添加密码;
    2、建议通过有限的机器作为跳板机实现对其他内网机器的访问,避免所有机器的随意互联互通,跳板机不要部署相关可能存在风险的服务和业务。

    4. 挖矿木马清理方法


    1、删除恶意动态链接库 /usr/local/lib/libioset.so;

    2、排查清理 /etc/ld.so.preload 中是否加载1中的恶意动态链接库;

    3、清理 crontab 异常项,删除恶意任务(无法修改则先执行5-a);

    4、kill 挖矿进程;

    5、排查清理可能残留的恶意文件;

    a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

    b. chkconfig watchdogs off

    c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

    7、相关系统命令可能被病毒删除,可通过包管理器重新安装或者其他机器拷贝恢复;

    8、 由于文件只读且相关命令被 hook,需要安装 busybox 通过 busybox rm 命令删除;

    9、部分操作需要重启机器生效。



    本文作者:腾讯安全云鼎实验室

    腾讯安全云鼎实验室专注云安全技术研究和云安全产品创新工作;负责腾讯云安全架构设计、腾讯云安全防护和运营工作;通过攻防对抗、合规审计搭建管控体系,提升腾讯云整体安全能力。




    腾讯安全云鼎实验室,关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册