作者:安全攻防組@騰訊安全雲鼎實驗室
公眾號:https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg
一、背景
近日,騰訊雲安全團隊監測到部分雲上及外部用戶機器存在安全漏洞被入侵,同時植入 watchdogs 挖礦病毒,出現 crontab 任務異常、系統文件被刪除、CPU 異常等情況,並且會自動感染更多機器。攻擊者主要利用 Redis 未授權訪問入侵服務器並通過內網掃描和 known_hosts 歷史登錄嘗試感染更多機器。(對此,騰訊雲安全團隊第一時間發布了病毒預警——預警 | 中招 watchdogs 感染性挖礦病毒,如何及時止損?)
相較於過去發現的挖礦病毒,這次的挖礦病毒隱藏性更高,也更難被清理。服務器被該病毒入侵后將嚴重影響業務正常運行甚至導致奔潰,給企業帶來不必要的損失。
二、腳本分析
首先,可以直接從crontab任務中看到異常的任務項:
騰訊安全雲鼎實驗室專註雲安全技術研究和雲安全產品創新工作;負責騰訊雲安全架構設計、騰訊雲安全防護和運營工作;通過攻防對抗、合規審計搭建管控體系,提升騰訊雲整體安全能力。