如何更有效的消滅watchdogs挖礦病毒？華爲雲DCS Redis爲您支招

漏洞概述

近日，互聯網出現watchdogs挖礦病毒，攻擊者能夠利用Redis未受權訪問漏洞入侵服務器，經過內外網掃描感染更多機器。被感染的主機出現 crontab 任務異常、系統文件被刪除、CPU 異常等狀況，而且會自動感染更多機器，嚴重影響業務正常運行甚至致使崩潰。

在此，小哥建議您及時開展Redis業務自查並進行升級修復，避免業務和經濟損失。

 

漏洞影響

一、數據泄露。Redis被遠程控制，泄漏敏感業務數據

二、病毒感染。若是機器自己未加固，可經過Redis漏洞入侵主機資源，並進行系統破壞、文件刪除、利用主機資源挖礦等惡性操做

 

產生漏洞條件

一、Redis全網監聽，暴露於公網之上。自建Redis容易設置0.0.0.0:6379，在綁定EIP以後暴露在互聯網上

二、Redis無密碼或弱密碼進行認證，容易被破解

三、Redis服務以root或高權限帳戶運行，可經過該用戶修改 crontab 任務、執行挖礦操做，系統 netstat 等文件被篡改刪除，同時會進一步遍歷 known_hosts 中歷史登陸記錄進行感染更多機器

 

加固建議

一、推薦使用華爲雲DCS Redis雲服務，DCS默認已針對Redis進行加固，且有專業團隊維護，不受該漏洞影響，您能夠放心使用！

二、禁止外網訪問 Redis，須要重啓Redis才能生效

三、Redis是否以無密碼或弱密碼進行驗證，請添增強密碼驗證，須要重啓Redis才能生效

四、Redis服務是否以root帳戶運行，請以低權限運行Redis服務，須要重啓Redis才能生效

五、設置安全組或防火牆，對源IP進行訪問權限控制

六、禁用config命令避免惡意操做，可以使用rename特性把config重命名，增長攻擊者使用config指令的難度

七、把Redis默認的6379端口修改成其它端口，增長攻擊者獲取Redis入口的難度

 

清理木馬

若發現主機被入侵感染，請按照如下方法進行處置

一、隔離感染主機：已中毒計算機儘快隔離，關閉全部網絡鏈接，禁用網卡

二、清理未知計劃任務

三、刪除惡意動態連接庫 /usr/local/lib/libioset.so

四、排查清理 /etc/ld.so.preload 中是否加載3中的惡意動態連接庫

五、清理 crontab 異常項，刪除惡意任務(沒法修改則先執行7-a)

六、終止挖礦進程

七、排查清理可能殘留的惡意文件

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

八、相關係統命令可能被病毒刪除，可經過包管理器從新安裝或者其餘機器拷貝恢復

九、因爲文件只讀且相關命令被 hook，須要安裝 busybox 經過 busybox rm 命令刪除

十、重啓機器

​

注意

修復漏洞前請將資料備份，並進行充分測試。