2020-11-03
关于近期部分服务器感染病毒进行网络攻击的紧急通知
尊敬的校园网用户:
计算中心通过流量监测和校园网用户报告,经现场勘察和样本分析后,确认有部分校园网Linux服务器感染木马病毒。已经发现的机器其感染原因都是ssh、telnet等服务具有弱口令,攻击者可获取主机控制权限,植入木马病毒,进行挖矿、网络攻击和横向传播等恶意行为,同时服务器上的文件也可能被窃取、删除或恶意加密等,有很大的风险。与之前通告的挖矿病毒有所不同(https://its.pku.edu.cn/announce/tz20190830153200.jsp), 这次的变种对限制校内访问(无网关账号或没有登陆)的主机同样可造成感染。
如何判断服务器是否已经感染病毒:
1、执行“netstat -anplt | more“ 指令查看系统网络连接,是否存在异常网络连接,连接异常端口(1234、8831、5555、9999等端口)。
2、查看系统定时任务,是否存在updatedb,任务内容为每分钟运行1次up程序,定时任务内容如下:
#DO NOT EDIT THIS FILE!
#Contents of this file manged by update
#Master copy is update
#Consult that file for documentation
*1/ * * * * root (up)
@reboot root (up)
3、查看/etc/目录下是否存在up文件,以及/etc/update/目录下是否存在update文件。这两个文件是木马下载器,可以从主控端下载恶意代码并执行。
4. 部分节点在感染后还会下载执行清理脚本,清除日志和使用痕迹,脚本名称是“clean“,可通过 “find / -name clean” 指令查找确认。
5. 大部分感染主机会有类似“staff“名称(该进程名称为攻击者自定义,可能为其他名称)的高资源占用进程(cpu占用率99%),可通过“ps aux | grep staff”指令查找确认,或通过“top”指令,查看是否存在其他名称高资源占用的异常进程。
其他病毒文件还包括:
/etc/bash
/tmp/staff
/tmp/dev
/tmp/.md/a
/tmp/.md/haiduc
/tmp/.md/start
/dev/shm/.rsync/haiduc
/dev/shm/.rsync/a
/dev/shm/.rsync/start
感染木马病毒的服务器的处理:
1. 断开网络连接,并向计算中心进行报备。
2. 使用其他物理介质拷贝出有用的数据,尽量以单个文件形式备份,避免打包时无意中保留了恶意文件,对拷贝出的文件进行病毒查杀。。
3. 对硬盘进行格式化处理,并对操作系统进行重装。
4. 查看系统内的账户及进程,清除不必要的系统和用户账号,关闭不必要的进程。
5. 将root用户口令设置为强口令,添加访问策略,禁止使用root用户直接远程登陆,同时其他用户的口令也必须设置为强口令。
6. 开启redis服务的应添加访问策略,限制访问源地址或设置访问认证。
7. 启用系统防火墙,添加访问限制策略,仅开放系统业务所必须使用的端口。
8. 及时给系统和应用软件安装补丁更新,修复系统应用软件存在的漏洞。
9. 进行完成处理步骤之后导入备份数据,恢复应用系统,观察2-3日查看是否存在再次被感染的情况。
10.根据目前发现的情况,将病毒文件删除、修改服务器账户密码后可解决服务器遭受控制的情况,在后续使用过程中应定期观察服务器进程及占用情况,发现异常及时向计算中心进行报备。
密码设置方法:
1. 不用弱密码,弱密码指仅包含简单数字或字母的组合,如:123、12345678、abc、root、admin等;
2. 避免使用存在社工属性的密码,如:用户名、生日、abc123等,此类密码易被攻击者利用使用者个人信息生成定制字典进行爆破;
3. 避免使用个人在其他社交账户及软件应用中使用的密码,攻击者可能利用从黑产等其他途径购买到的密码库进行撞库攻击;
4. 避免多个服务器使用相同账户密码,也不要将服务器密码设置的存在特征性、规律性,同时避免与个人账号常用的密码相同或相似;
5. 设一个自己能记住的密码,如:古诗词、一句话缩写 数字/字符等,bqLLcloud&moon_201809 (八千里路云和月)
联系方式:
电话:62751023,邮箱:its@pku.edu.cn
北京大学计算中心
2020年11月03日