近日，腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵，同时植入 watchdogs 挖矿病毒，出现 crontab 任务异常、系统文件被删除、CPU 异常等情况，并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。

腾讯云安全团队建议您及时开展自查并进行升级修复，避免业务和经济损失。

风险详情

根据腾讯云安全团队的分析，遭受攻击的机器会被修改 crontab 任务、执行挖矿操作，系统 netstat 等文件被篡改删除，同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器，严重影响业务正常运行甚至导致奔溃，给企业带来不必要的损失。

风险等级

高风险

问题影响

该病毒主要影响 Linux 机器，消耗主机资源进行挖矿。

修复建议

情况1——Redis 未授权访问：

1、为 Redis 添加密码验证（重启 Redis 才能生效）；
2、禁止外网访问 Redis（重启 Redis 才能生效）；
3、以低权限运行Redis服务（重启 Redis 才能生效）。

详细操作请参考：
http://bbs.qcloud.com/thread-30706-1-1.html

情况2——内网感染：

1、建议不要将连接机器的私钥直接放在服务器上，如有必要建议添加密码；
2、建议通过有限的机器作为跳板机实现对其他内网机器的访问，避免所有机器的随意互联互通，跳板机不要部署相关可能存在风险的服务和业务。

挖矿木马清理方法

1、删除恶意动态链接库 /usr/local/lib/libioset.so；
2、排查清理 /etc/ld.so.preload 中是否加载1中的恶意动态链接库；
3、清理 crontab 异常项，删除恶意任务(无法修改则先执行5-a)；
4、kill 挖矿进程；
5、排查清理可能残留的恶意文件；
a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b. chkconfig watchdogs off
c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
7、相关系统命令可能被病毒删除，可通过包管理器重新安装或者其他机器拷贝恢复；
8、 由于文件只读且相关命令被 hook，需要安装 busybox 通过 busybox rm 命令删除；
9、部分操作需要重启机器生效。

本文作者：腾讯安全云鼎实验室
腾讯安全云鼎实验室专注云安全技术研究和云安全产品创新工作；负责腾讯云安全架构设计、腾讯云安全防护和运营工作；通过攻防对抗、合规审计搭建管控体系，提升腾讯云整体安全能力。