一、概要

近日，華為云檢測到互聯(lián)網(wǎng)出現(xiàn)watchdogs挖礦病毒，被感染的主機(jī)出現(xiàn) crontab 任務(wù)異常、系統(tǒng)文件被刪除、CPU 異常等情況，并且會自動(dòng)感染更多機(jī)器。攻擊者主要利用Redis未授權(quán)訪問和SSH弱口令等方式入侵服務(wù)器并通過內(nèi)外網(wǎng)掃描感染更多機(jī)器，嚴(yán)重影響業(yè)務(wù)正常運(yùn)行甚至導(dǎo)致崩潰。

華為云提醒各位租戶及時(shí)安排自檢并做好安全加固。

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

對互聯(lián)網(wǎng)開放，并存在Redis未授權(quán)訪問和SSH弱口令漏洞的主機(jī)可能被感染病毒

四、排查和處置方法

排查方法：

1.  Redis未授權(quán)訪問：

·  設(shè)置安全組，禁止外網(wǎng)訪問 Redis（重啟Redis才能生效）

·  Redis是否以無密碼或弱密碼進(jìn)行驗(yàn)證，請?zhí)砑訌?qiáng)密碼驗(yàn)證（重啟Redis才能生效）；

·   Redis服務(wù)是否以root賬戶運(yùn)行，請以低權(quán)限運(yùn)行Redis服務(wù)（重啟Redis才能生效）；

2.  SSH弱口令：

·   設(shè)置安全組，禁止SSH對互聯(lián)網(wǎng)開放或者點(diǎn)對點(diǎn)開放；

·   將SSH訪問設(shè)置為秘鑰訪問或者設(shè)置為強(qiáng)口令。

處置方法：

若發(fā)現(xiàn)主機(jī)被入侵感染，請按照以下方法進(jìn)行處置

1.  隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡；

2.  清理未知計(jì)劃任務(wù)；

3.  刪除惡意動(dòng)態(tài)鏈接庫 /usr/local/lib/libioset.so；

4.  排查清理 /etc/ld.so.preload 中是否加載3中的惡意動(dòng)態(tài)鏈接庫；

5.  清理 crontab 異常項(xiàng)，刪除惡意任務(wù)(無法修改則先執(zhí)行7-a)；

6.  終止挖礦進(jìn)程；

7.  排查清理可能殘留的惡意文件；

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8.  相關(guān)系統(tǒng)命令可能被病毒刪除，可通過包管理器重新安裝或者其他機(jī)器拷貝恢復(fù)；

9.  由于文件只讀且相關(guān)命令被 hook，需要安裝 busybox 通過 busybox rm 命令刪除；

10. 重啟機(jī)器。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。