今年5月20日左右,第一次从 kswapd0 占用这系统的资源,I/O 持续过高且极其消耗内存中发现服务器被植入了挖矿病毒。
处理了以后,直到今天8月3日,htop/top + crontab -l 再次发现另外一个账号出现类似异常。
腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于 2018 年被发现,其主要特征为通过 SSH 爆破攻击目标系统,同时传播基于 Perl 的 Shellbot 和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台 Linux 服务器感染,影响上万家企业。
此次攻击传播的母体文件为 dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放 shell 脚本启动对应二进制程序,kswapd0 负责进行门罗币挖矿,tsm32、tsm64 负责继续 SSH 爆破攻击传播病毒。
亡命徒(Outlaw)僵尸网络之前通过利用 Shellshock 漏洞进行分发,因此被命名为 "Shellbot"。Shellbot 利用物联网(IoT)设备和 Linux 服务器上的常见命令注入漏洞进行感染。Shellshock 漏洞 (CVE-2014-7169) 是2014年在 Bash command shell 中发现的一个严重的漏洞,大多数 Linux 发行版通常会使用到该功能,攻击者可以在这些受影响的 Linux 服务器上远程执行代码。
来源:《亡命徒(Outlaw)僵尸网络感染约2万台 Linux 服务器,腾讯安全提醒企业及时清除》
安全建议
建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
- 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32
md5: 10ea65f54f719bffcc0ae2cde450cb7a
- 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd
/b/sync
/c/aptitude
- 如果发现存在通过在授权的 ssh 密钥文件中安装 ssh 指纹来设置 ssh 后门,请删除:
$ cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
生信服务器 | 更改 CentOS/RHEL 6/7 中的时区
本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
