如何更有效的消滅watchdogs挖礦病毒
如何更有效的消滅watchdogs挖礦病毒,相信很多沒有經(jīng)驗的人對此束手無策����,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題�����。
漏洞概述
近日�����,互聯(lián)網(wǎng)出現(xiàn)watchdogs挖礦病毒���,攻擊者可以利用Redis未授權(quán)訪問漏洞入侵服務(wù)器�,通過內(nèi)外網(wǎng)掃描感染更多機(jī)器��。被感染的主機(jī)出現(xiàn) crontab 任務(wù)異常����、系統(tǒng)文件被刪除�����、CPU 異常等情況���,并且會自動感染更多機(jī)器�����,嚴(yán)重影響業(yè)務(wù)正常運(yùn)行甚至導(dǎo)致崩潰��。
在此�����,小哥建議您及時開展Redis業(yè)務(wù)自查并進(jìn)行升級修復(fù)��,避免業(yè)務(wù)和經(jīng)濟(jì)損失��。
漏洞影響
1���、數(shù)據(jù)泄露���。Redis被遠(yuǎn)程控制���,泄漏敏感業(yè)務(wù)數(shù)據(jù)
2、病毒感染����。如果機(jī)器本身未加固,可通過Redis漏洞入侵主機(jī)資源��,并進(jìn)行系統(tǒng)破壞�����、文件刪除��、利用主機(jī)資源挖礦等惡性操作
產(chǎn)生漏洞條件
1�����、Redis全網(wǎng)監(jiān)聽��,暴露于公網(wǎng)之上�����。自建Redis容易設(shè)置0.0.0.0:6379,在綁定EIP之后暴露在互聯(lián)網(wǎng)上
2����、Redis無密碼或弱密碼進(jìn)行認(rèn)證,容易被破解
3�����、Redis服務(wù)以root或高權(quán)限賬戶運(yùn)行����,可通過該用戶修改 crontab 任務(wù)���、執(zhí)行挖礦操作���,系統(tǒng) netstat 等文件被篡改刪除,同時會進(jìn)一步遍歷 known_hosts 中歷史登錄記錄進(jìn)行感染更多機(jī)器
加固建議
1����、推薦使用華為云DCS Redis云服務(wù),DCS默認(rèn)已針對Redis進(jìn)行加固���,且有專業(yè)團(tuán)隊維護(hù)���,不受該漏洞影響�����,您可以放心使用�����!
2����、禁止外網(wǎng)訪問 Redis��,需要重啟Redis才能生效
3�����、Redis是否以無密碼或弱密碼進(jìn)行驗證����,請?zhí)砑訌?qiáng)密碼驗證,需要重啟Redis才能生效
4����、Redis服務(wù)是否以root賬戶運(yùn)行�����,請以低權(quán)限運(yùn)行Redis服務(wù)�,需要重啟Redis才能生效
5�、設(shè)置安全組或防火墻,對源IP進(jìn)行訪問權(quán)限控制
6�����、禁用config命令避免惡意操作��,可使用rename特性把config重命名�����,增加攻擊者使用config指令的難度
7��、把Redis默認(rèn)的6379端口修改為其它端口�,增加攻擊者獲取Redis入口的難度
清理木馬
若發(fā)現(xiàn)主機(jī)被入侵感染����,請按照以下方法進(jìn)行處置
1、隔離感染主機(jī):已中毒計算機(jī)盡快隔離��,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡
2���、清理未知計劃任務(wù)
3�����、刪除惡意動態(tài)鏈接庫 /usr/local/lib/libioset.so
4�����、排查清理 /etc/ld.so.preload 中是否加載3中的惡意動態(tài)鏈接庫
5�、清理 crontab 異常項��,刪除惡意任務(wù)(無法修改則先執(zhí)行7-a)
6����、終止挖礦進(jìn)程
7、排查清理可能殘留的惡意文件
a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b) chkconfig watchdogs off
c) rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
8�、相關(guān)系統(tǒng)命令可能被病毒刪除,可通過包管理器重新安裝或者其他機(jī)器拷貝恢復(fù)
9���、由于文件只讀且相關(guān)命令被 hook����,需要安裝 busybox 通過 busybox rm 命令刪除
10、重啟機(jī)器
注意
修復(fù)漏洞前請將資料備份���,并進(jìn)行充分測試��。
看完上述內(nèi)容�,你們掌握如何更有效的消滅watchdogs挖礦病毒的方法了嗎�?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道���,感謝各位的閱讀����!
