病毒相关信息(示例)
病毒家族
SystemdMiner
病毒痕迹
内网大量爆破22端。
访问矿池。
CPU占用100%。
1.3.矿池信息
99.90.243.136
1.4.挖矿进程
挖矿主进程为随机的8位数字与字母的组合,示例如下所示:
该进程由病毒文件拉起,该病毒文件拉起进程后自删除。
定时任务
共有两个定制任务
1、/var/spool/cron中root
2、/etc/cron.d中0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt
挖矿脚本
共有四个挖矿脚本
分别为/root目录下
.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh
和/opt目录下
systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh
systemd-service.sh
unixdb.sh
开启启动项
未发现恶意启动项
病毒处理步骤(示例)
杀掉挖矿进程
#kill-9 19811
删除定时任务
删除/var/spool/cron/root文件中的相关定制任务
删除/etc/cron.d/0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt定时任务
删除脚本文件(不一定完全一样)
#rm–rf /root/.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh
#rm–rf /opt/systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh
#rm–rf /opt/systemd-service.sh
其中unixdb.sh有被修改为只读文件,不能删除需要去除只读属性后删除
使用lsattr命令查看文件属性,使用chattr命令去除只读属性
删除不可信的免密密钥
查看/root/.ssh/authorized_keys,如存在未知免密密钥需要手动删除。
删除X11记录
删除/tmp/.X11-unix/目录中的所有文件。
病毒进程检查
使用ps -ef 查看所有进程,查看是否存在其他8位进程,如果有需要杀掉。
修改密码强度
!!!!需要修改登陆密码为10为以上,包含大小写字母,数字,符号。
病毒分析
https://www.qianxin.com/news/detail?news_id=327
https://www.secpulse.com/archives/127740.html
公司内部该病毒已出现变种,hadoop需要更新之最新以减少安全风险