本文共 2640 字,大约阅读时间需要 8 分钟。
七大常见Linux恶意软件家族及清除方法
随着时间推移,Linux系统的恶意软件事件频发,尤其是与挖矿相关的攻击呈现快速增长态势。本文将重点介绍7种常见的Linux恶意软件家族及其清除方法,帮助系统管理员及时识别和应对。
BillGates恶意软件家族
特点:2014年首次被发现,样本多变,函数中包含“gates”字符串。主要用于DDoS攻击,伪装手段包括篡改系统工具如ss、netstat、ps、lsof等。中毒现象:
/tmp目录下存在gates.lod、moni.lod文件 /usr/bin/bsd-port/目录下存在病毒文件 主机访问域名www.id666.pw 系统文件(ss、netstat、ps、lsof)修改时间异常清除方法: 清除/usr/bin/bsd-port/getty及.ssh等病毒进程 删除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒文件 从/usr/bin/dpkgd/目录恢复原系统文件 DDG恶意软件家族
特点:更新频繁,感染量庞大,利用P2P协议控制僵尸网络,主要进行蠕虫式挖矿,版本迭代下文件名以ddg、i.sh命名。中毒现象:
/tmp目录下出现ddgs.+数字的ELF文件 存在随机名文件如qW3xT、SzDXM 定时任务中下载i.sh文件清除方法: 清除随机名挖矿进程及相关文件 删除母体文件ddg.* 删除带有i.sh字符串的定时任务 清除/root/.ssh/authorized_keys缓存公钥 SystemdMiner恶意软件家族
特点:利用YARN漏洞、Linux自动化运维工具及.ssh缓存密钥传播。前期文件命名带有“systemd”字符串,后期改为随机名,善于使用暗网代理进行C&C通信。中毒现象:
定时访问带有tor2web、onion字符串的域名 /tmp目录下存在systemd文件(后期为随机名) 存在运行systemd-login的定时任务(后期为随机名)清除方法: 清除/var/spool/cron及/etc/cron.d下的可疑定时任务 清除随机名挖矿进程 清除残留的systemd-login及.sh病毒脚本 StartMiner恶意软件家族
特点:2022年2月首次被发现,进程及定时任务中包含“2start.jpg”字符串,通过SSH传播,创建多个恶意定时任务。中毒现象:
定时任务中包含“2start.jpg”字符串 /tmp目录下存在名为x86_的病毒文件 /etc/cron.d目录下存在伪装定时任务(apache、nginx、root)清除方法: 结束挖矿进程x86_ 删除所有带有“2start.jpg”字符串的定时任务 清除所有带有“2start.jpg”字符串的wget进程 WatchdogsMiner恶意软件家族
特点:2019年发现,利用Redis未授权访问漏洞及SSH爆破传播,样本由go语言编译,伪装为hippies/LSD包(github.com/hippies/LSD)。中毒现象:
定时执行访问pastebin.com的恶意代码 /tmp目录下存在名为watchdogs的病毒文件 访问*.systemten.org域名清除方法: 删除恶意动态链接库/usr/local/lib/libioset.so 清理crontab中的异常项 使用kill命令终止挖矿进程 清理可能残留的恶意文件: - chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
- chkconfig watchdogs off
- rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
- 由于文件读取权限问题,需安装busybox并使用busybox rm命令删除
XorDDoS恶意软件家族
特点:从2014年至今持续存在,因样本大量使用Xor解密技术而命名。主要用于DDoS攻击,样本采用多态技术及自删除方式,隐藏C&C通信IP及端口。中毒现象:
/lib/libudev.so文件存在 /usr/bin、/bin、/lib、/tmp目录下有随机名病毒文件 定时执行gcc.sh文件清除方法: 清除/lib/udev/目录下的udev程序 清除/boot目录下的随机恶意文件(10个随机字符串数字) 清除/etc/cron.hourly/cron.sh及/etc/crontab定时任务相关内容 卸载可能存在的RootKit驱动模块 清除/lib/udev目录下的debug程序 RainbowMiner恶意软件家族
特点:自2019年频繁出现,C&C域名包含“Rainbow”字符串。主要特征是隐藏挖矿进程kthreadds,主机CPU占用率高但无法找到可疑进程。中毒现象:
隐藏挖矿进程/usr/bin/kthreadds,主机CPU占用率高但看不到进程 访问Rainbow66.f3322.net恶意域名 创建ssh免密登录公钥,实现持久化攻击 存在cron.py进程持久化守护清除方法: 下载busybox:wget http://www.busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64 使用busybox top定位并清除挖矿进程kthreadds及母体进程pdflushs 删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件 删除/etc/rc*.d/下的启动项 清除相关伪装文件:/lib64/ 删除python cron.py进程 加固建议
实时监控主机状态:Linux恶意软件以挖矿为主,一旦主机被挖矿,CPU占用率会显著增加,影响业务运行。 定时任务检查:定时任务是恶意软件常用的持久化攻击手段,建议定期检查系统是否存在可疑定时任务。 ssh安全配置:企业应及时更改weak密码,并检查/root/.ssh/目录下是否存在可疑的authorized_keys缓存公钥。 漏洞防御:定期检查Web程序是否存在未授权访问漏洞,尤其是Redis等RCE漏洞。 通过以上方法,可以有效识别并清除Linux系统中的恶意软件,保障系统安全。
转载地址:http://cwxi.baihongyu.com/