您好,登錄后才能下訂單哦!
如何更有效的消滅watchdogs挖礦病毒,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。
漏洞概述
近日,互聯(lián)網(wǎng)出現(xiàn)watchdogs挖礦病毒,攻擊者可以利用Redis未授權(quán)訪問漏洞入侵服務(wù)器,通過內(nèi)外網(wǎng)掃描感染更多機(jī)器。被感染的主機(jī)出現(xiàn) crontab 任務(wù)異常、系統(tǒng)文件被刪除、CPU 異常等情況,并且會自動感染更多機(jī)器,嚴(yán)重影響業(yè)務(wù)正常運(yùn)行甚至導(dǎo)致崩潰。
在此,小哥建議您及時開展Redis業(yè)務(wù)自查并進(jìn)行升級修復(fù),避免業(yè)務(wù)和經(jīng)濟(jì)損失。
漏洞影響
1、數(shù)據(jù)泄露。Redis被遠(yuǎn)程控制,泄漏敏感業(yè)務(wù)數(shù)據(jù)
2、病毒感染。如果機(jī)器本身未加固,可通過Redis漏洞入侵主機(jī)資源,并進(jìn)行系統(tǒng)破壞、文件刪除、利用主機(jī)資源挖礦等惡性操作
產(chǎn)生漏洞條件
1、Redis全網(wǎng)監(jiān)聽,暴露于公網(wǎng)之上。自建Redis容易設(shè)置0.0.0.0:6379,在綁定EIP之后暴露在互聯(lián)網(wǎng)上
2、Redis無密碼或弱密碼進(jìn)行認(rèn)證,容易被破解
3、Redis服務(wù)以root或高權(quán)限賬戶運(yùn)行,可通過該用戶修改 crontab 任務(wù)、執(zhí)行挖礦操作,系統(tǒng) netstat 等文件被篡改刪除,同時會進(jìn)一步遍歷 known_hosts 中歷史登錄記錄進(jìn)行感染更多機(jī)器
加固建議
1、推薦使用華為云DCS Redis云服務(wù),DCS默認(rèn)已針對Redis進(jìn)行加固,且有專業(yè)團(tuán)隊維護(hù),不受該漏洞影響,您可以放心使用!
2、禁止外網(wǎng)訪問 Redis,需要重啟Redis才能生效
3、Redis是否以無密碼或弱密碼進(jìn)行驗證,請?zhí)砑訌?qiáng)密碼驗證,需要重啟Redis才能生效
4、Redis服務(wù)是否以root賬戶運(yùn)行,請以低權(quán)限運(yùn)行Redis服務(wù),需要重啟Redis才能生效
5、設(shè)置安全組或防火墻,對源IP進(jìn)行訪問權(quán)限控制
6、禁用config命令避免惡意操作,可使用rename特性把config重命名,增加攻擊者使用config指令的難度
7、把Redis默認(rèn)的6379端口修改為其它端口,增加攻擊者獲取Redis入口的難度
清理木馬
若發(fā)現(xiàn)主機(jī)被入侵感染,請按照以下方法進(jìn)行處置
1、隔離感染主機(jī):已中毒計算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡
2、清理未知計劃任務(wù)
3、刪除惡意動態(tài)鏈接庫 /usr/local/lib/libioset.so
4、排查清理 /etc/ld.so.preload 中是否加載3中的惡意動態(tài)鏈接庫
5、清理 crontab 異常項,刪除惡意任務(wù)(無法修改則先執(zhí)行7-a)
6、終止挖礦進(jìn)程
7、排查清理可能殘留的惡意文件
a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b) chkconfig watchdogs off
c) rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
8、相關(guān)系統(tǒng)命令可能被病毒刪除,可通過包管理器重新安裝或者其他機(jī)器拷貝恢復(fù)
9、由于文件只讀且相關(guān)命令被 hook,需要安裝 busybox 通過 busybox rm 命令刪除
10、重啟機(jī)器
注意
修復(fù)漏洞前請將資料備份,并進(jìn)行充分測試。
看完上述內(nèi)容,你們掌握如何更有效的消滅watchdogs挖礦病毒的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。