以Redis未授权访问漏洞,及SSH爆破传播的WatchdogsMiner家族被发现于2019年,因会在/tmp/目录下释放一个叫watchdogs的母体文件而得名。WatchdogsMiner可通过SSH爆破,使用Linux系统的Shell脚本编写下载器,通过wget和curl命令下载“游戏组件dota2.tar.gz,实则是挖矿脚本组件,里面包含了强大的查杀其他挖矿木马的脚本,还有针对不同系统对应的挖矿木马。WatchdogsMiner的初始版本会将恶意代码托管在pastebin.com上以绕过检测,不过后续版本已弃用,改为自己的C&C服务器.systemten.org。该病毒的特点是样本由go语言编译,并试用了伪装的hippies/LSD包(github_com_hippiesLSD)。
主机中毒现象:
1、存在执行pastebin.com上恶意代码的定时任务。
2、/tmp/目录下存在一个名为watchdogs的病毒文件。
3、访问*.systemten.org域名。
病毒清除步骤:
1、删除恶意动态链接库 /usr/local/lib/libioset.so
2、清理 crontab 异常项[3] 使用kill命令终止挖矿进程
3、排查清理可能残留的恶意文件:
(a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root;
(b) chkconfig watchdogs off;
© rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。
4、由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除。
阿里大带宽服务器首月半价促销,详细咨询QQ:80496086
推荐:
CPU:Xeon E5-2630(六核)
内存:16 GB
硬盘:1T sata/240G ssd
带宽:回国带宽50M
IP:1个