如何更有效地消灭 watchdogs 挖矿病毒？华为云 DCS Redis 为您支招

漏洞概述

近日，互联网出现 watchdogs 挖矿病毒，攻击者可以利用 Redis 未授权访问漏洞入侵服务器，通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况，并且会自动感染更多机器，严重影响业务正常运行甚至导致崩溃。

在此，小哥建议您及时开展 Redis 业务自查并进行升级修复，避免业务和经济损失。

漏洞影响

1、数据泄露。Redis 被远程控制，泄漏敏感业务数据

2、病毒感染。如果机器本身未加固，可通过 Redis 漏洞入侵主机资源，并进行系统破坏、文件删除、利用主机资源挖矿等恶性操作

产生漏洞条件

1、Redis 全网监听，暴露于公网之上。自建 Redis 容易设置 0.0.0.0:6379，在绑定 EIP 之后暴露在互联网上

2、Redis 无密码或弱密码进行认证，容易被破解

3、Redis 服务以 root 或高权限账户运行，可通过该用户修改 crontab 任务、执行挖矿操作，系统 netstat 等文件被篡改删除，同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器

加固建议

1、推荐使用华为云 DCS Redis 云服务，DCS 默认已针对 Redis 进行加固，且有专业团队维护，不受该漏洞影响，您可以放心使用！

2、禁止外网访问 Redis，需要重启 Redis 才能生效

3、Redis 是否以无密码或弱密码进行验证，请添加强密码验证，需要重启 Redis 才能生效

4、Redis 服务是否以 root 账户运行，请以低权限运行 Redis 服务，需要重启 Redis 才能生效

5、设置安全组或防火墙，对源 IP 进行访问权限控制

6、禁用 config 命令避免恶意操作，可使用 rename 特性把 config 重命名，增加攻击者使用 config 指令的难度

7、把 Redis 默认的 6379 端口修改为其它端口，增加攻击者获取 Redis 入口的难度

清理木马

若发现主机被入侵感染，请按照以下方法进行处置

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡

2、清理未知计划任务

3、删除恶意动态链接库 /usr/local/lib/libioset.so

4、排查清理 /etc/ld.so.preload 中是否加载 3 中的恶意动态链接库

5、清理 crontab 异常项，删除恶意任务(无法修改则先执行 7-a)

6、终止挖矿进程

7、排查清理可能残留的恶意文件

a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b) chkconfig watchdogs off

c) rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8、相关系统命令可能被病毒删除，可通过包管理器重新安装或者其他机器拷贝恢复

9、由于文件只读且相关命令被 hook，需要安装 busybox 通过 busybox rm 命令删除

10、重启机器

注意

修复漏洞前请将资料备份，并进行充分测试。

本文转载自公众号中间件小哥（ID：huawei_kevin）。

原文链接：

https://mp.weixin.qq.com/s/r5-7RCGu6nVWWwOltn10sQ