2019-08-30
关于近期服务器感染挖矿病毒实施网络攻击的紧急通知
尊敬的校园网用户:
近日新葡亰8883ent通过监测和校园网用户报告,并由新葡亰8883ent现场勘察并提取日志和恶意样本进行分析后,确认部分校园网Linux服务器感染挖矿病毒,进行挖矿与DDoS攻击。目前发现的感染原因全部是通过操作系统的ssh、ftp、telnet等服务的弱口令进入操作系统,再植入挖矿病毒。
判断服务器是否感染挖矿病毒:
- 1、查看/usr/bin/或/etc/systcl/目录下存在config.json文件,该文件中包含如下类似内容:
"pools": [ { "url": "s1000.us:3333", "user": "r", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1, "tls": false, "tls-fingerprint": null }, ],
其他病毒文件包括:
- /usr/bin/org
- /lib/scr.so
- /lib/libdev.so.1
- /etc/update
- /etc/upgrade
- /etc/systcl
- /etc/systcl/systcl.conf
- /usr/bin/config.json
- /etc/ld.so.preload
- 2、查看是否连接异常端口(3333或9832端口)。
- 3、查看服务器是否有异常计划任务。
感染挖矿病毒的服务器的处理:
- 1. 断开网络连接。
- 2. 用移动硬盘拷贝出有用的数据。
- 3. 低格硬盘。
- 4. 重装操作系统。
- 5. 清除不必要的系统和用户账号,关闭不必要的进程。
- 6. Root用户口令设置为强口令,其他用户的口令也必须设置为强口令。
- 7. Redis服务限源访问或设置访问认证。
- 8. 启用系统防火墙,仅允许系统业务端口开放。
- 9. 及时给系统和应用软件打补丁,修复漏洞。
- 10. 导入备份数据,恢复应用系统。
密码设置方法:
- 1. 不用弱密码,弱密码指仅包含简单数字或字母的组合,如:123、12345678、abc、root、admin等
- 2. 避免“大众”密码,如:用户名、生日、abc123等
- 3. 设一个自己能记住的密码,如:古诗词、一句话缩写+数字/字符等,bqllyhy_201809(八千里路云和月)
联系方式:
电话:62751023,邮箱:its@pku.edu.cn
北京大学新葡亰8883ent
2019年08月30日