服务器又中毒了,得治一治!

今年5月20日左右,第一次从 kswapd0 占用这系统的资源,I/O 持续过高且极其消耗内存中发现服务器被植入了挖矿病毒。

a3acf6aa-8224-44eb-be65-ea3afe6aa219.png

处理了以后,直到今天8月3日,htop/topcrontab -l 再次发现另外一个账号出现类似异常。

7677eb85-c10b-43f4-a443-93e0911987e5.png
f8a58bff-8da0-4ed7-83f8-afbb11885849.png

其实,我们只要把 kswapd0.X25-unix 直接谷歌,不难发现其实这就是一个挖矿的病毒,再认真看一下它植入的这些代码,基本就可以确定它就是腾讯安全威胁情报中心曾经提到的国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。

腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于 2018 年被发现,其主要特征为通过 SSH 爆破攻击目标系统,同时传播基于 Perl 的 Shellbot 和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台 Linux 服务器感染,影响上万家企业。


此次攻击传播的母体文件为 dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放 shell 脚本启动对应二进制程序,kswapd0 负责进行门罗币挖矿,tsm32、tsm64 负责继续 SSH 爆破攻击传播病毒。


亡命徒(Outlaw)僵尸网络之前通过利用 Shellshock 漏洞进行分发,因此被命名为 "Shellbot"。Shellbot 利用物联网(IoT)设备和 Linux 服务器上的常见命令注入漏洞进行感染。Shellshock 漏洞 (CVE-2014-7169) 是2014年在 Bash command shell 中发现的一个严重的漏洞,大多数 Linux 发行版通常会使用到该功能,攻击者可以在这些受影响的 Linux 服务器上远程执行代码。

来源:《亡命徒(Outlaw)僵尸网络感染约2万台 Linux 服务器,腾讯安全提醒企业及时清除

823b7e18-4e20-40ec-8b64-0a7e9500ed74.png






安全建议


建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:

  1. 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32
md5: 10ea65f54f719bffcc0ae2cde450cb7a
  1. 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd
/b/sync
/c/aptitude
  1. 如果发现存在通过在授权的 ssh 密钥文件中安装 ssh 指纹来设置 ssh 后门,请删除:
$ cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr


5306f8ab-640f-45d9-8fe5-540054870f9d.gif


生信服务器 | 防火墙基本配置

2021-07-26

c0d3a1d6-54b3-48e8-b734-677e3b2c8fee.jpg

我给自己做了一个导航网站

2021-07-17

dc240c33-fcf8-4839-ad97-f248d40168f3.jpg

生信服务器 | 更改 CentOS/RHEL 6/7 中的时区

2021-05-27

bc14dbb1-2070-4042-a51b-39f9ff1263b2.jpg

生信服务器 | Linux 时间戳和标准时间

2021-01-21

b588b3fc-c86f-4079-8bf0-643ffc4cac29.jpg

生信服务器入门级基本设置

2020-06-05

329a340b-5dc6-44eb-aad7-0ae52bb1d79d.jpg


本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值