??????? 美國服務器會有一些常見的網絡病毒,其傳播和攻擊入侵的方式各不相同,本文小編就來介紹下部分美國服務器常見的病毒的解決方案,以及美國服務器系統安全加固的一些建議。
??????? 一、Systemd Miner病毒
??????? Systemd Miner會使用3種方式進行在美國服務器里傳播:YARN漏洞、自動化運維工具以及SSH緩存密鑰,該病毒早起版本的文件命名是帶有Systemd字符串,而后期版本更換為隨機名。
??????? 特點:
??????? 1、善用暗網代理來進行美國服務器C&C通信。
??????? 2、通過bash命令下載執行多個功能模塊。
??????? 3、通過美國服務器SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權訪問漏洞和自動化運維工具內網擴散。
??????? 4、文件下載均利用暗網代理,感染后會清除美國服務器上其他挖礦木馬,以達到資源獨占的目的。
??????? 系統中毒現象:
定時訪問帶有tor2web、onion字符串的域名 在/tmp目錄下出現systemd的文件,后期版本為隨機名 存在運行systemd-login的定時任務,后期版本為隨機名
??????? 解決方案:
??????? 1、清除美國服務器/var/spool/cron和/etc/cron.d目錄下的可疑定時任務。
??????? 2、清除隨機名的挖礦進程。
??????? 3、清除美國服務器系統殘留的systemd-login和病毒腳本。
??????? 二、Xor DDoS病毒
??????? Xor DDoS樣本運用多態及自刪除的方式,主要用途是攻擊公網,導致公網美國服務器不斷出現隨機名進程,并采用Rootkit技術隱藏通信IP及端口。
??????? 系統中毒現象:
存在/lib/libudev.so病毒文件 在/usr/bin,/bin,/lib,/tmp目錄下隨機名的病毒文件 存在執行gcc.sh的定時任務
??????? 解決方案:
??????? 1、清除美國服務器/lib/udev/目錄下的udev程序。
??????? 2、清除美國服務器/boot目錄下的隨機惡意文件,為10個隨機字符串數字。
??????? 3、清除美國服務器/etc/cron.hourly/cron.sh和/etc/crontab定時器文件相關內容。
??????? 4、如果有RootKit驅動模塊,需要卸載美國服務器相應的驅動模塊,此次惡意程序主要使用它來隱藏相關的網絡IP端口。
??????? 5、清除美國服務器/lib/udev目錄下的debug程序。
??????? 三、Watchdogs Miner病毒
??????? Watchdogs Miner可通過SSH爆破,使用美國服務器的Shell腳本編寫下載器,通過wget和curl命令下【游戲組件dota2.tar.gz】,實則是挖礦腳本組件,里面包含了查殺其他挖礦木馬的腳本,還有針對不同美國服務器的系統對應的挖礦木馬。Watchdogs Miner病毒的特點是樣本由go語言編譯,并試用偽裝的hippies或LSD包。
??????? 中毒現象:
存在執行pastebin.com上惡意代碼的定時任務 /tmp/目錄下存在一個名為watchdogs的病毒文件 訪問systemten.org域名
??????? 解決方案:
??????? 1、刪除美國服務器上惡意動態鏈接庫 /usr/local/lib/libioset.so。
??????? 2、清理 crontab 異常項[3],使用kill命令終止挖礦進程。
chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root chkconfig watchdogs off rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
??????? 4、由于美國服務器部分文件只讀且相關命令被hook,需要安裝busy box并使用busy box rm命令來進行刪除。
??????? 四、Start Miner病毒
??????? Start Miner病毒通過SSH進行傳播,其主要特點是會在美國服務器上創建多個包含2start.jpg字符串的惡意定時任務。Start Miner病毒通過SSH傳播新型的Linux挖礦木馬,該木馬通過在美國服務器上創建多個定時任務、多個路徑釋放功能模塊的方式進行駐留,并存在SSH暴力破解模塊,下載并運行開源挖礦程序。
??????? 系統中毒現象:
定時任務里有包含2start.jpg的字符串 /tmp/目錄下存在名為x86_的病毒文件 /etc/cron.d目錄下出現多個偽裝的定時任務文件
??????? 解決方案:
??????? 2、刪除美國服務器所有帶有2start.jpg字符串的定時任務和所有帶有2start.jpg字符串的wget進程。
??????? 五、Rainbow Miner病毒
??????? Rainbow Miner病毒最大的特點是會隱藏挖礦進程kthreadds,管理人員會發現美國服務器CPU占用率高,卻沒有發現可疑進程,這是因為Rainbow Miner病毒采用了多種方式進行隱藏及持久化攻擊。
??????? 系統中毒現象:
隱藏挖礦進程/usr/bin/kthreadds, CPU占用率高卻看不到進程 會訪問惡意域名 會創建SSH免密登錄公鑰,實現持久化攻擊 存在cron.py進程
??????? 解決方案:
??????? 1、美國服務器下載busy box,使用busy box top定位到挖礦進程kthreadds及母體進程pdflushs,并進行清除。
??????? 2、刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的啟動項,同時刪除美國服務器/lib64/下的病毒偽裝文件。
??????? 3、清除美國服務器的python cron.py進程。
??????? 美國服務器系統安全加固建議:
??????? 1、惡意軟件一般以挖礦為主,一旦美國服務器被挖礦了,CPU的占用率會非常高,因此管理人員需要實時監控美國服務器的CPU狀態。
??????? 2、定時任務是美國服務器惡意軟件常見的攻擊方式,所以管理人員需要定時檢查美國服務器系統是否有出現可疑的定時任務。
??????? 3、避免存在SSH弱密碼的現象,需要更改為復雜密碼,且檢查在美國服務器/root/.ssh/目錄下是否有存在可疑的authorized_key緩存公鑰。
??????? 4、管理人員需要定時檢查美國服務器Web程序是否有存在漏洞,特別關注Redis未授權訪問等RCE漏洞。
??????? 以上內容就是一些美國服務器常見的病毒解決方案的介紹,以及一些美國服務器系統安全的加固建議分享,希望能幫助到有需要的美國服務器用戶們。
??????? 現在夢飛科技合作的美國VM機房的美國服務器所有配置都免費贈送防御值 ,可以有效防護網站的安全,以下是部分配置介紹:
| CPU | 內存 | 硬盤 | 帶寬 | IP | 價格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無限流量 | 1個IP | 900/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1250/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1350/月 | 免費贈送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1450/月 | 免費贈送1800Gbps?DDoS防御 |
??????? 夢飛科技已與全球多個國家的頂級數據中心達成戰略合作關系,為互聯網外貿行業、金融行業、IOT行業、游戲行業、直播行業、電商行業等企業客戶等提供一站式安全解決方案。持續關注夢飛科技官網,獲取更多IDC資訊!
?
?
文章鏈接: http://www.qzkangyuan.com/25457.html
文章標題:美國服務器常見病毒的解決方案
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
