美國(guó)網(wǎng)站服務(wù)器會(huì)有一些常見(jiàn)的病毒,傳播以及攻擊入侵的方式各不相同,今天美聯(lián)科技小編就來(lái)介紹下部分美國(guó)網(wǎng)站服務(wù)器常見(jiàn)的病毒以及解決方案和一些美國(guó)網(wǎng)站服務(wù)器安全加固的建議。
1、Systemd Miner
Systemd Miner會(huì)使用3種方式進(jìn)行在美國(guó)網(wǎng)站服務(wù)器里傳播:YARN漏洞、自動(dòng)化運(yùn)維工具以及SSH緩存密鑰,該病毒早起版本的文件命名是帶有Systemd字符串,而后期版本更換為隨機(jī)名。
特點(diǎn):
1、善用暗網(wǎng)代理來(lái)進(jìn)行C&C通信
2、通過(guò)bash命令下載執(zhí)行多個(gè)功能模塊
3、通過(guò)SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權(quán)訪(fǎng)問(wèn)漏洞和自動(dòng)化運(yùn)維工具內(nèi)網(wǎng)擴(kuò)散
4、文件下載均利用暗網(wǎng)代理,感染后會(huì)清除美國(guó)網(wǎng)站服務(wù)器上其他挖礦木馬,以達(dá)到資源獨(dú)占的目的。
美國(guó)網(wǎng)站服務(wù)器中毒現(xiàn)象:
1、定時(shí)訪(fǎng)問(wèn)帶有tor2web、onion字符串的域名。
2、在/tmp目錄下出現(xiàn)systemd的文件,后期版本為隨機(jī)名。
3、存在運(yùn)行systemd-login的定時(shí)任務(wù),后期版本為隨機(jī)名。
解決方案:
1、清除美國(guó)網(wǎng)站服務(wù)器/var/spool/cron和/etc/cron.d目錄下的可疑定時(shí)任務(wù)。
2、清除美國(guó)網(wǎng)站服務(wù)器隨機(jī)名的挖礦進(jìn)程。
3、清除殘留的systemd-login和病毒腳本。
2、Xor DDoS
Xor DDoS樣本運(yùn)用多態(tài)及自刪除的方式,主要用途是攻擊公網(wǎng),導(dǎo)致公網(wǎng)美國(guó)網(wǎng)站服務(wù)器不斷出現(xiàn)隨機(jī)名進(jìn)程,并采用Rootkit技術(shù)隱藏通信IP及端口。
美國(guó)網(wǎng)站服務(wù)器中毒現(xiàn)象:
1、存在/lib/libudev.so病毒文件
2、在/usr/bin,/bin,/lib,/tmp目錄下隨機(jī)名的病毒文件。
3、存在執(zhí)行g(shù)cc.sh的定時(shí)任務(wù)。
解決方案:
1、清除美國(guó)網(wǎng)站服務(wù)器/lib/udev/目錄下的udev程序。
2、清除美國(guó)網(wǎng)站服務(wù)器/boot目錄下的隨機(jī)惡意文件,為10個(gè)隨機(jī)字符串?dāng)?shù)字。
3、清除美國(guó)網(wǎng)站服務(wù)器/etc/cron.hourly/cron.sh和/etc/crontab定時(shí)器文件相關(guān)內(nèi)容。
4、如果有RootKit驅(qū)動(dòng)模塊,需要卸載美國(guó)網(wǎng)站服務(wù)器相應(yīng)的驅(qū)動(dòng)模塊,此次惡意程序主要使用它來(lái)隱藏相關(guān)的網(wǎng)絡(luò)IP端口。
5、清除美國(guó)網(wǎng)站服務(wù)器/lib/udev目錄下的debug程序。
3、Watchdogs Miner
Watchdogs Miner可通過(guò)SSH爆破,使用美國(guó)網(wǎng)站服務(wù)器的Shell腳本編寫(xiě)下載器,通過(guò)wget和curl命令下【游戲組件dota2.tar.gz】,實(shí)則是挖礦腳本組件,里面包含了查殺其他挖礦木馬的腳本,還有針對(duì)不同美國(guó)網(wǎng)站服務(wù)器的系統(tǒng)對(duì)應(yīng)的挖礦木馬。Watchdogs Miner病毒的特點(diǎn)是樣本由go語(yǔ)言編譯,并試用偽裝的hippies或LSD包。
美國(guó)網(wǎng)站服務(wù)器中毒現(xiàn)象:
1、存在執(zhí)行pastebin.com上惡意代碼的定時(shí)任務(wù)
2、/tmp/目錄下存在一個(gè)名為watchdogs的病毒文件
3、訪(fǎng)問(wèn)systemten.org域名
解決方案:
1、刪除美國(guó)網(wǎng)站服務(wù)器上惡意動(dòng)態(tài)鏈接庫(kù) /usr/local/lib/libioset.so
2、清理 crontab 異常項(xiàng)[3],使用kill命令終止挖礦進(jìn)程
3、排查清理美國(guó)網(wǎng)站服務(wù)器可能殘留的惡意文件:
A) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
B)chkconfig watchdogs off
C)rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
4、由于文件只讀且相關(guān)命令被hook,需要安裝busy box并使用busy box rm命令刪除。
4、Start Miner病毒
Start Miner病毒通過(guò)SSH進(jìn)行傳播,其主要特點(diǎn)是會(huì)在美國(guó)網(wǎng)站服務(wù)器上創(chuàng)建多個(gè)包含2start.jpg字符串的惡意定時(shí)任務(wù)。Start Miner病毒通過(guò)SSH傳播新型的Linux挖礦木馬,該木馬通過(guò)在美國(guó)網(wǎng)站服務(wù)器上創(chuàng)建多個(gè)定時(shí)任務(wù)、多個(gè)路徑釋放功能模塊的方式進(jìn)行駐留,并存在SSH暴力破解模塊,下載并運(yùn)行開(kāi)源挖礦程序。
美國(guó)網(wǎng)站服務(wù)器中毒現(xiàn)象:
1、美國(guó)網(wǎng)站服務(wù)器定時(shí)任務(wù)里有包含2start.jpg的字符串
2、美國(guó)網(wǎng)站服務(wù)器/tmp/目錄下存在名為x86_的病毒文件
3、美國(guó)網(wǎng)站服務(wù)器/etc/cron.d目錄下出現(xiàn)多個(gè)偽裝的定時(shí)任務(wù)文件:apache、nginx、root
解決方案:
1、美國(guó)網(wǎng)站服務(wù)器結(jié)束挖礦進(jìn)程x86_
2、刪除美國(guó)網(wǎng)站服務(wù)器所有帶有2start.jpg字符串的定時(shí)任務(wù)
3、清除美國(guó)網(wǎng)站服務(wù)器所有帶有2start.jpg字符串的wget進(jìn)程
5、Rainbow Miner病毒
Rainbow Miner病毒最大的特點(diǎn)是會(huì)隱藏挖礦進(jìn)程kthreadds,美國(guó)網(wǎng)站服務(wù)器管理人員會(huì)發(fā)現(xiàn)美國(guó)網(wǎng)站服務(wù)器CPU占用率高,卻沒(méi)有發(fā)現(xiàn)可疑進(jìn)程,是有因?yàn)镽ainbow Miner病毒采用了多種方式進(jìn)行隱藏及持久化攻擊。
美國(guó)網(wǎng)站服務(wù)器中毒現(xiàn)象:
1、隱藏挖礦進(jìn)程/usr/bin/kthreadds,美國(guó)網(wǎng)站服務(wù)器CPU占用率高卻看不到進(jìn)程
2、美國(guó)網(wǎng)站服務(wù)器會(huì)訪(fǎng)問(wèn)Rainbow66.f3322.net惡意域名
3、會(huì)創(chuàng)建SSH免密登錄公鑰,實(shí)現(xiàn)持久化攻擊
4、美國(guó)網(wǎng)站服務(wù)器存在cron.py進(jìn)程
解決方案:
1、美國(guó)網(wǎng)站服務(wù)器下載busy box,使用busy box top定位到挖礦進(jìn)程kthreadds及母體進(jìn)程pdflushs,并進(jìn)行清除
2、美國(guó)網(wǎng)站服務(wù)器刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的啟動(dòng)項(xiàng)
3、美國(guó)網(wǎng)站服務(wù)器刪除/lib64/下的病毒偽裝文件
4、清除美國(guó)服務(wù)費(fèi)去python cron.py進(jìn)程
6、系統(tǒng)安全加固建議
1、美國(guó)網(wǎng)站服務(wù)器的惡意軟件一般以挖礦為主,一旦美國(guó)網(wǎng)站服務(wù)器被挖礦了,CPU的占用率會(huì)非常高,因此美國(guó)網(wǎng)站服務(wù)器管理人員需要實(shí)時(shí)監(jiān)控美國(guó)網(wǎng)站服務(wù)器的CPU狀態(tài)。
2、定時(shí)任務(wù)是美國(guó)服務(wù)群Linux系統(tǒng)惡意軟件常見(jiàn)的攻擊方式,所以美國(guó)網(wǎng)站服務(wù)器管理人員需要定時(shí)檢查系統(tǒng)是否有出現(xiàn)可疑的定時(shí)任務(wù)。
3、美國(guó)網(wǎng)站服務(wù)器避免存在SSH弱密碼的現(xiàn)象,需要更改為復(fù)雜密碼,且檢查在美國(guó)網(wǎng)站服務(wù)器/root/.ssh/目錄下是否有存在可疑的authorized_key緩存公鑰。
4、美國(guó)網(wǎng)站服務(wù)器管理人員需要定時(shí)檢查Web程序是否有存在漏洞,特別關(guān)注Redis未授權(quán)訪(fǎng)問(wèn)等RCE漏洞。
以上就是另外一些美國(guó)網(wǎng)站服務(wù)器常見(jiàn)的病毒介紹,以及一些美國(guó)網(wǎng)站服務(wù)器安全的加固建議,希望能幫助到有需要的美國(guó)網(wǎng)站服務(wù)器用戶(hù)。
美聯(lián)科技是美國(guó)網(wǎng)站服務(wù)器優(yōu)質(zhì)的提供商之一,專(zhuān)業(yè)提供服務(wù)器托管及租用業(yè)務(wù),其中包括美國(guó)站群服務(wù)器租用、美國(guó)高防服務(wù)器租用、美國(guó)不限流量租用、美國(guó)VPS租用、美國(guó)虛擬空間租用等。專(zhuān)注IDC業(yè)務(wù)十六年,竭誠(chéng)為廣大客戶(hù)提供更優(yōu)質(zhì)更貼心的服務(wù)。
美聯(lián)科技提供各種美國(guó)網(wǎng)站服務(wù)器的解決方案,對(duì)于有建站需求的用戶(hù)提供了更多的選擇,對(duì)于有高防需求的用戶(hù)也提供了很多解決方案,現(xiàn)在美聯(lián)科技合作的美國(guó)VM機(jī)房到美國(guó)網(wǎng)站服務(wù)器所有配置都免費(fèi)贈(zèng)送防御值 ,可以有效防護(hù)美國(guó)網(wǎng)站服務(wù)器的安全,需要了解更多詳情的用戶(hù),歡迎移步到美聯(lián)科技官網(wǎng):美國(guó)VM機(jī)房,或者聯(lián)系美聯(lián)科技客戶(hù)經(jīng)理QQ:22652082,進(jìn)行咨詢(xún)了解。
美聯(lián)科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶(hù)等提供一站式安全解決方案。持續(xù)關(guān)注美聯(lián)科技官網(wǎng),獲取更多有用內(nèi)容,了解更多IDC資訊!
美聯(lián)科技 Fre
美聯(lián)科技 Daisy
美聯(lián)科技 Anny
美聯(lián)科技 Vic
夢(mèng)飛科技 Lily
美聯(lián)科技 Fen
美聯(lián)科技 Sunny
美聯(lián)科技Zoe