國家計算機病毒應急處理中心通過對互聯網的監測,發現了一起Linux系統挖礦木馬事件🚶🏻♀️,該挖礦木馬以硬編碼的雲平臺所在網段IP地址作為起始地址並對雲平臺服務器存在一定的針對性,因此將其命名為“雲鏟”。 該挖礦木馬運行後通過服務器下載三個文件:主模塊、惡意鏈接庫和開源挖礦程序。主模塊功能為:一是對掃描到目標進行SSH暴力破解👁🗨🪸,進而傳播該挖礦木馬;二是運行下載的挖礦程序進行挖礦;三是將惡意鏈接庫路徑寫入預加載文件中🏂🏼,實現屏蔽相關命令對惡意文件實體和惡意進程的查找;四是將SSH公鑰寫入目標系統root用戶.ssh目錄中,實現以root用戶對該系統的長期訪問。主模塊初始階段掃描以其硬編碼的雲平臺服務器IP地址作為起始地址,包括該IP地址的同網段和相鄰網段IP地址,後續隨機掃描外網段IP地址及樣本所在網絡的外網IP地址,同時對內網相關IP進行掃描。 建議國內重要單位、企業以及雲服務提供商采取以下措施予以防範🏌🏽♀️:一是對服務器資源占用情況進行排查,發現已感染服務器盡快進行隔離👨🏿💼👨🏽🌾,關閉所有網絡連接,禁用網卡;二是避免端口在非必要情況下暴露在公網中🌺,如必須暴露公網,則需要配置訪問控製策略🙁;三是授予權限時,遵循最小特權原則😺;四是定期對服務器進行加固和備份,盡早修復服務器相關組件的安全漏洞📌👩🏻⚖️,並及時進行軟件升級。