您的当前位置: 首页通知公告病毒预警 ≡ 正文
病毒预警

“云铲”挖矿木马

编辑:时间:2021/03/02点击数:

国家计算机病毒应急处理中心近期通过对互联网的监测,发现了一起Linux系统挖矿木马事件,该挖矿木马以硬编码的云平台所在网段IP地址作为起始地址并对云平台服务器存在一定的针对性,因此将其命名为“云铲”。

该挖矿木马运行后通过服务器下载三个文件:主模块、恶意链接库和开源挖矿程序。主模块功能为:一是对扫描到目标进行SSH暴力破解,进而传播该挖矿木马;二是运行下载的挖矿程序进行挖矿;三是将恶意链接库路径写入预加载文件中,实现屏蔽相关命令对恶意文件实体和恶意进程的查找;四是将SSH公钥写入目标系统root用户.ssh目录中,实现以root用户对该系统的长期访问。主模块初始阶段扫描以其硬编码的云平台服务器IP地址作为起始地址,包括该IP地址的同网段和相邻网段IP地址,后续随机扫描外网段IP地址及样本所在网络的外网IP地址,同时对内网相关IP进行扫描。

建议采取以下措施予以防范:

一、对服务器资源占用情况进行排查,发现已感染服务器尽快进行隔离,关闭所有网络连接,禁用网卡;

二、避免端口在非必要情况下暴露在公网中,如必须暴露公网,则需要配置访问控制策略;

三、授予权限时,遵循最小特权原则;

四、定期对服务器进行加固和备份,尽早修复服务器相关组件的安全漏洞,并及时进行软件升级。

Copyright © 2019-2022.  南京农业大学信息化建设中心  All rights reserved.
地址:江苏省南京市玄武区卫岗1号  邮编:210095  电话:86-25-84396018