云安全中心提示
提示详情
病毒为挖矿病毒,利用Redis的未授权访问漏洞进行攻击。
Redis 默认配置为6379端口无密码访问,如果redis以root用户启动,攻击者可以通过公网直接链接redis,向root账户写入SSH公钥文件,以此获取服务器权限注入病毒。确定这个占据绝大部分cpu资源的进程sysupdate和xr,就是挖矿程序了,我们需要先找到它。
1、命令行直接输入top语句,获取病毒的PID
ECS进程查看
2、查看病毒路径
ls -l /proc/#{病毒PID}/exe
查看病毒路径
病毒文件
病毒脚本删除脚本
杀毒过程
1、获取挖矿程序进程号
ps -aux | grep sysupdate
2、获取挖矿程序绝对路径
ls -l /proc/{pid号}/exe
3、删除程序文件、干掉进程
chattr +i {文件绝对路径} # 解除锁定
rm -rf {文件绝对路径}
kill -9 {pid号}
4、删掉或者修复authorized_keys(攻击者可能在/root/.ssh/里面留他们的秘钥,所以我们要清理掉)
chattr +i /root/.ssh/authorized_keys
rm -rf /root/.ssh/authorized_keys
5、删除定时任务
crontab -r
6、redis添加秘钥
1)编辑redis.conf
2)找到 #requirepass foobared ,把requirepass前面的#和空格去掉,把 foobared 改为自己想写的密码比如123
3)关闭redis redis-cli shutdown
4)启动redis /usr/local/bin/redis-server /etc/redis.conf
redis3.2版本后新增protected-mode配置,默认是yes,即开启。设置外部网络连接redis服务,设置方式如下:
1)关闭protected-mode模式,此时外部网络可以直接访问
2)开启protected-mode保护模式,需配置bind ip或者设置访问密码
分析update.sh脚本
在/etc下下载了config.json(挖矿配置)、sysupdate(XMR挖矿软件)、update.sh(本脚本)、networkservice(scanner 扫描并入侵其他的主机)、sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)并保证他们以root权限运行。
网友评论