Linux系统常见的病毒之——WatchdogsMiner
以Redis未授权访问漏洞,及SSH爆破传播的WatchdogsMiner家族被发现于2019年,因会在/tmp/目录下释放一个叫watchdogs的母体文件而得名。WatchdogsMiner可通过SSH爆破,使用Linux系统的Shell脚本编写下载器,通过wget和curl命令下载&...
以Redis未授权访问漏洞,及SSH爆破传播的WatchdogsMiner家族被发现于2019年,因会在/tmp/目录下释放一个叫watchdogs的母体文件而得名。WatchdogsMiner可通过SSH爆破,使用Linux系统的Shell脚本编写下载器,通过wget和curl命令下载“游戏组件dota2.tar.gz,实则是挖矿脚本组件,里面包含了强大的查杀其他挖矿木马的脚本,还有针对不同系统对应的挖矿木马。WatchdogsMiner的初始版本会将恶意代码托管在pastebin.com上以绕过检测,不过后续版本已弃用,改为自己的C&C服务器.systemten.org。该病毒的特点是样本由go语言编译,并试用了伪装的hippies/LSD包(github_com_hippiesLSD)。 主机中毒现象: 1、存在执行pastebin.com上恶意代码的定时任务。 2、/tmp/目录下存在一个名为watchdogs的病毒文件。 3、访问*.systemten.org域名。 病毒清除步骤: 1、删除恶意动态链接库 /usr/local/lib/libioset.so 2、清理 crontab 异常项[3] 使用kill命令终止挖矿进程 3、排查清理可能残留的恶意文件: (a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root; (b) chkconfig watchdogs off; © rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。 4、由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除。 https://www.mfisp.com/hkidc/hklbserver/ 阿里大带宽服务器首月半价促销,详细咨询QQ:80496086 推荐: CPU:Xeon E5-2630(六核) 内存:16 GB 硬盘:1T sata/240G ssd 带宽:回国带宽50M IP:1个
部分网站内容及图片来源于网络,如有侵权或违规内容请联系管理员删除!
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |