关于近期服务器感染挖矿病毒实施网络攻击的紧急通知

尊敬的校园网用户：

近日计算中心通过监测和校园网用户报告，并由计算中心现场勘察并提取日志和恶意样本进行分析后，确认部分校园网Linux服务器感染挖矿病毒，进行挖矿与DDoS攻击。目前发现的感染原因全部是通过操作系统的ssh、ftp、telnet等服务的弱口令进入操作系统，再植入挖矿病毒。

判断服务器是否感染挖矿病毒：

• 1、查看/usr/bin/或/etc/systcl/目录下存在config.json文件，该文件中包含如下类似内容：
  

  "pools": [
          {
              "url": "s1000.us:3333",
              "user": "r",
              "pass": "x",
              "keepalive": true,
              "nicehash": false,
              "variant": -1,
              "tls": false,
              "tls-fingerprint": null
          },
       ],

  
  其他病毒文件包括：
  
  • /usr/bin/org
  • /lib/scr.so
  • /lib/libdev.so.1
  • /etc/update
  • /etc/upgrade
  • /etc/systcl
  • /etc/systcl/systcl.conf
  • /usr/bin/config.json
  • /etc/ld.so.preload
• 2、查看是否连接异常端口（3333或9832端口）。
• 3、查看服务器是否有异常计划任务。

感染挖矿病毒的服务器的处理：

• 1. 断开网络连接。
• 2. 用移动硬盘拷贝出有用的数据。
• 3. 低格硬盘。
• 4. 重装操作系统。
• 5. 清除不必要的系统和用户账号，关闭不必要的进程。
• 6. Root用户口令设置为强口令，其他用户的口令也必须设置为强口令。
• 7. Redis服务限源访问或设置访问认证。
• 8. 启用系统防火墙，仅允许系统业务端口开放。
• 9. 及时给系统和应用软件打补丁，修复漏洞。
• 10. 导入备份数据，恢复应用系统。

密码设置方法：

• 1. 不用弱密码，弱密码指仅包含简单数字或字母的组合，如：123、12345678、abc、root、admin等
• 2. 避免“大众”密码，如：用户名、生日、abc123等
• 3. 设一个自己能记住的密码，如：古诗词、一句话缩写+数字/字符等，bqllyhy_201809（八千里路云和月）

联系方式：

电话：62751023，邮箱：its@pku.edu.cn

 

北京大学计算中心

2019年08月30日