RainbowMiner自2019年就頻繁出現,由于其訪問的C&C域名帶有Rainbow字符串而得名,其最大的特點是會隱藏挖礦進程kthreadds,排查人員會發現主機CPU占用率高,但找不到可疑進程。為了躲避DDG及安全人員的查殺,其采用了多種方式進行隱藏及持久化攻擊,由于其會訪問域名Rainbow66.f3322.net,是一個“求生欲“極強的Linux挖礦病毒家族。
主機中毒現象:
1、隱藏挖礦進程/usr/bin/kthreadds,主機CPU占用率高但看不到進程。
2、訪問Rainbow66.f3322.net惡意域名。
3、創建ssh免密登錄公鑰,實現持久化攻擊。
4、存在cron.py進程持久化守護。
病毒清除步驟:
1、下載busybox:wget http://www.busybox.net/downlo…_64。
2、使用busybox top定位到挖礦進程kthreadds及母體進程pdflushs,并清除。
3、刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的啟動項。
4、刪除/lib64/下的病毒偽裝文件。
5、清除python cron.py進程。
加固建議:
1、Linux惡意軟件以挖礦為主,一旦主機被挖礦了,CPU占用率高,將會影響業務,所以,需要實時監控主機CPU狀態。
2、定時任務是惡意軟件慣用的持久化攻擊技巧,應定時檢查系統是否出現可疑定時任務。
3、企業還大量存在ssh弱密碼的現象,應及時更改為復雜密碼,且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key緩存公鑰。
4、定時檢查Web程序是否存在漏洞,特別關注Redis未授權訪問等RCE漏洞。
推薦:
CPU:E5-2650LV2
內存:16GB
硬盤:1TB SATA
帶寬:20M CIA
IP:3個