近日,深信服安全团队追踪到公有云上及外部linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、cpu异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户linux服务器被植入新型恶意挖矿蠕虫,且较难清理。
深信服安全团队将其命名为watchdogsminer,并紧急发布预警,提醒企业用户及时开展自查修复,防范watchdogsminer挖矿蠕虫。
病毒名称:watchdogsminer
病毒性质:挖矿蠕虫
影响范围:国内不少用户受感染,包括公有云用户
危害等级:高危
传播方式:基于redis未授权访问、集成ssh爆破实现内外网的蠕虫式传播。
如何确认是否中毒
病毒分析
[1] watchdogsminer整体比较复杂,病毒母体为一个sh脚本,来自pastebin.com/raw/sbyq0rym
[2] sh脚本主要做了两个操作,净化主机环境,然后下载并运行挖矿病毒体。
[3] 挖矿病毒是一个elf文件,从thyrsi.com/t6/672/1550667479x1822611209.jpg处下载得到。
[4] 挖矿病毒使用go语言编写,病毒会通过ssh和redis未授权访问进行传播,然后以守护进程的方式进行挖矿,挖矿的币种为门罗币。
01
watchdogsminer挖矿毒体分析
watchdogsminer病毒程序是由go语言编写的elf文件,程序包含了网络通信模块、加密算法、redis攻击、ssh暴力破解、挖矿等自实现功能。
详细分析如下:
02
母体脚本功能分析
凯发登录的解决方案
watchdogsminer病毒清理:
1、删除恶意动态链接库 /usr/local/lib/libioset.so;
2、清理 crontab 异常项,删除恶意任务(无法修改则先执行4-a);
3、使用kill命令终止挖矿进程;
4、排查清理残留的病毒文件;
a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b. chkconfig watchdogs off
c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
5、相关系统命令如netstat等可能被病毒删除,建议重新进行安装恢复;
6、由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除;
7、部分操作需要重启机器生效。
watchdogsminer病毒防御:
1、为 redis 添加密码验证;禁止外网访问 redis;以低权限运行redis服务。(重启 redis 才能生效。)
2、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
3、深信服下一代防火墙、终端检测响应平台(edr)均有防爆破功能。下一代防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御。
4、深信服下一代防火墙客户,建议升级到af805版本,并开启save安全智能检测引擎,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知平台 下一代防火墙 edr,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系凯发注册网站,获取关于watchdogsminer的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)pc端访问深信服区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询