病毒预报 第八百七十七期
国家计算机病毒应急处理中心通过对互联网的监测,发现了一起Linux系统挖矿木马事件,该挖矿木马以硬编码的云平台所在网段IP地址作为起始地址并对云平台服务器存在一定的针对性,因此将其命名为“云铲”。 该挖矿木马运行后通过服务器下载三个文件:主模块、恶意链接库和开源挖矿程序。主模块功能为:一是对扫描到目标进行SSH暴力破解,进而传播该挖矿木马;二是运行下载的挖矿程序进行挖矿;三是将恶意链接库路径写入预加载文件中,实现屏蔽相关命令对恶意文件实体和恶意进程的查找;四是将SSH公钥写入目标系统root用户.ssh目录中,实现以root用户对该系统的长期访问。主模块初始阶段扫描以其硬编码的云平台服务器IP地址作为起始地址,包括该IP地址的同网段和相邻网段IP地址,后续随机扫描外网段IP地址及样本所在网络的外网IP地址,同时对内网相关IP进行扫描。 建议国内重要单位、企业以及云服务提供商采取以下措施予以防范:一是对服务器资源占用情况进行排查,发现已感染服务器尽快进行隔离,关闭所有网络连接,禁用网卡;二是避免端口在非必要情况下暴露在公网中,如必须暴露公网,则需要配置访问控制策略;三是授予权限时,遵循最小特权原则;四是定期对服务器进行加固和备份,尽早修复服务器相关组件的安全漏洞,并及时进行软件升级。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心