近日,国内安全研究人员发公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请安全狗安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫。国内安全研究人员将其命名为WatchDogsMiner,提醒企业用户及时开展自查修复,防范WatchDogsMiner挖矿蠕虫。
病毒信息
病毒名称:WatchDogsMiner
病毒性质:挖矿蠕虫
传播方式:基于Redis未授权访问、集成SSH爆破实现内外网的蠕虫式传播。
危害等级:高危
病毒描述
病毒母体为来自pastebin.com_raw_sByq0rym的一个sh脚本。sh脚本在服务器上修改所需要操作的目录属性,首先关闭其他挖矿进程,其次删除定时任务及服务,清理billgates病毒相关进程和文件:

关闭CPU占用超过80%的进程

下载挖矿病毒并运行

删除SSH密钥和登录痕迹日志

病毒检测
1、通过服务器终端进行检查发现部分常用命令被删除后出现未找到命令:比如netstat
2、authorized_keys文件被清空无法使用免密登录
3、在计划任务的相关路径下发现一个root的计划任务(使用 #contab –l 查看任务计划)
4、发现系统CPU占用异常程序
解决方案
病毒清理:
1、删除恶意动态链接库 /usr/local/lib/libioset.so;
2、清理 crontab 异常项,删除恶意任务(无法修改则先执行4-a);
3、使用kill命令终止挖矿进程;
4、排查清理残留的病毒文件;
a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b. chkconfig watchdogs off
c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
5、相关系统命令如netstat等可能被病毒删除,建议重新进行安装恢复;
6、由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除;
7、部分操作需要重启机器生效。
病毒防御:
1、为 Redis 添加密码验证;禁止外网访问 Redis;以低权限运行Redis服务。(重启 Redis 才能生效。)
2、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。