watchdogs 感染性挖矿病毒预警

事件详情

  近日，腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵，同时植入 watchdogs 挖矿病毒，出现 crontab 任务异常、系统文件被删除、CPU 异常等情况，并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。腾讯云安全团队建议用户及时开展自查并进行升级修复，避免业务和经济损失。

事件影响

  根据腾讯云安全团队的分析，遭受攻击的机器会被修改 crontab 任务、执行挖矿操作，系统 netstat 等文件被篡改删除，同时会进一步遍历 known_hosts 中历史登录记录进行感染更多机器，严重影响业务正常运行甚至导致奔溃，给企业带来不必要的损失。涉及范围：

l 该病毒主要影响 Linux 机器，消耗主机资源进行挖矿。

加固建议

 1. 禁止Redis服务对公网开放，可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可（Redis本来就是作为内存数据库，只要监听在本机即可）；

2. 设置密码访问认证，可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 （需要重启Redis服务才能生效）；

3. 对访问源IP进行访问控制，可在防火墙限定指定源ip才可以连接Redis服务器；

4. 修改Redis默认端口，将默认的6379端口修改为其他端口；

5. 禁用config指令避免恶意操作，在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG"，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度；

6. Redis使用普通用户权限，禁止使用 root 权限启动Redis 服务，这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限，无法获取root权限；

7.通过采购国信安全加固服务来提高系统的安全性，抵御外来的入侵和木马病毒袭击，缩小影响范围，使信息系统长期保持在高度可信的安全状态。

——转至安全客