SystemdMiner使用3種方式(YARN漏洞、Linux自動化運維工具、.ssh緩存密鑰)進行傳播,該病毒前期的文件命名帶有Systemd字符串,而后期版本已更換為隨機名,其特點是,善用暗網代理來進行C&C通信。該病毒木馬通過bash命令下載執行多個功能模塊,通過SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權訪問漏洞和自動化運維工具內網擴散,且該木馬的文件下載均利用暗網代理,感染后會清除主機上的其他挖礦木馬,以達到資源獨占的目的。
主機中毒現象:
1、定時訪問帶有tor2web、onion字符串的域名。
2、在/tmp目錄下出現systemd的文件(后期版本為隨機名)。
3、存在運行systemd-login的定時任務(后期版本為隨機名)。
病毒清除步驟:
4、清除/var/spool/cron和/etc/cron.d目錄下的可疑定時任務。
5、清除隨機名的挖礦進程。
6、清除殘留的systemd-login和.sh病毒腳本。
阿里大帶寬服務器首月半價促銷,詳細咨詢QQ:80496086
推薦:
CPU:Xeon E3-1260(四核)
內存:8 GB
硬盤:1T sata/240G ssd
帶寬:回國帶寬50M
IP:1個
