如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招

举报
牵小柴散步 发表于 2019/02/27 10:29:21 2019/02/27
【摘要】 漏洞概述近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。漏洞影响1、数据泄露。Redis被远程控制,泄漏...

漏洞概述

近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。

在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。


漏洞影响

1、数据泄露。Redis被远程控制,泄漏敏感业务数据

2、病毒感染。如果机器本身未加固,可通过Redis漏洞入侵主机资源,并进行系统破坏、文件删除、利用主机资源挖矿等恶性操作


产生漏洞条件

1、Redis全网监听,暴露于公网之上。自建Redis容易设置0.0.0.0:6379,在绑定EIP之后暴露在互联网中

2、Redis无密码或弱密码进行认证,容易被破解

3、Redis服务以root或高权限账户运行,可通过该用户修改 crontab 任务、执行挖矿操作,系统 netstat 等文件被篡改删除,同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器


加固建议

1、推荐使用华为云DCS Redis云服务,DCS默认已针对Redis进行加固,且有专业团队维护,不受该漏洞影响,您可以放心使用!

2、禁止外网访问 Redis,需要重启Redis才能生效

3、Redis是否以无密码或弱密码进行验证,请添加强密码验证,需要重启Redis才能生效

4、Redis服务是否以root账户运行,请以低权限运行Redis服务,需要重启Redis才能生效

5、设置安全组或防火墙,对源IP进行访问权限控制

6、禁用config命令避免恶意操作,可使用rename特性把config重命名,增加攻击者使用config指令的难度

7、把Redis默认的6379端口修改为其它端口,增加攻击者获取Redis入口的难度


清理木马

若发现主机被入侵感染,请按照以下方法进行处置

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡

2、清理未知计划任务

3、删除恶意动态链接库 /usr/local/lib/libioset.so

4、排查清理 /etc/ld.so.preload 中是否加载3中的恶意动态链接库

5、清理 crontab 异常项,删除恶意任务(无法修改则先执行7-a)

6、终止挖矿进程

7、排查清理可能残留的恶意文件

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8、相关系统命令可能被病毒删除,可通过包管理器重新安装或者其他机器拷贝恢复

9、由于文件只读且相关命令被 hook,需要安装 busybox 通过 busybox rm 命令删除

10、重启机器


注意

修复漏洞前请将资料备份,并进行充分测试。


点击华为云分布式缓存Redis,了解更多~~


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。