以Redis未授權訪問漏洞,及SSH爆破傳播的WatchdogsMiner家族被發現于2019年,因會在/tmp/目錄下釋放一個叫watchdogs的母體文件而得名。WatchdogsMiner可通過SSH爆破,使用Linux系統的Shell腳本編寫下載器,通過wget和curl命令下載“游戲組件dota2.tar.gz,實則是挖礦腳本組件,里面包含了強大的查殺其他挖礦木馬的腳本,還有針對不同系統對應的挖礦木馬。WatchdogsMiner的初始版本會將惡意代碼托管在pastebin.com上以繞過檢測,不過后續版本已棄用,改為自己的C&C服務器.systemten.org。該病毒的特點是樣本由go語言編譯,并試用了偽裝的hippies/LSD包(github_com_hippiesLSD)。
主機中毒現象:
1、存在執行pastebin.com上惡意代碼的定時任務。
2、/tmp/目錄下存在一個名為watchdogs的病毒文件。
3、訪問*.systemten.org域名。
病毒清除步驟:
1、刪除惡意動態鏈接庫 /usr/local/lib/libioset.so
2、清理 crontab 異常項[3] 使用kill命令終止挖礦進程
3、排查清理可能殘留的惡意文件:
(a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root;
(b) chkconfig watchdogs off;
© rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。
4、由于文件只讀且相關命令被hook,需要安裝busybox并使用busybox rm命令刪除。
阿里大帶寬服務器首月半價促銷,詳細咨詢QQ:80496086
推薦:
CPU:Xeon E5-2630(六核)
內存:16 GB
硬盤:1T sata/240G ssd
帶寬:回國帶寬50M
IP:1個