2024-04-18

近期部分服务器感染木马的清理指南

  近期根据网络安全监测及部分用户反映,经现场勘察和样本分析后,确认部分校园网内服务器感染了新型“挖矿”木马。该木马主要通过弱口令进行传播,不仅可以进行非法“挖矿”活动,还能够进行网络攻击和数据窃取。为保护个人数据及研究数据安全,我们强烈建议各位服务器管理员对系统进行全面排查。

一、排查是否感染木马

1. 检查系统是否存在木马样本

检查是否存在 /etc/ptr.so、/var/lib/library 和 /var/lib/library/tmp 等文件,这些位置已确认被用来存放恶意代码和动态链接库。

2. 检查异常进程

使用命令 ps aux | grep atw 或 ps aux | grep ptuf 查看是否存在名为 [atw] 或 [ptuf] 的进程,这些进程已确认是木马进程。

3. 检查异常网络链接

使用命令 netstat -antp 查看所有异常网络连接。查看是否存在不明IP地址和端口的连接,同时检查这些连接对应的进程名,是否为上述异常进程或其他未知进程(攻击者可能改变恶意进程名)。

4. 检查系统配置文件

审查 /etc/cron* 目录下的配置文件,查看是否存在未授权或异常的条目。确保没有恶意脚本被设置为自启动。同时,检查~/.ssh/authorized_keys 中是否存在未授权的公钥信息。

如果您的服务器存在上述特征,说明您的系统已经感染了木马。

二、处置建议

鉴于木马已获取系统root权限,简单的病毒清除可能无法完全解决问题,我们推荐您备份数据并重装操作系统,以确保系统环境的完整性和安全性,请参考以下方法进行处置。

1. 清理木马样本

清理文件 /etc/ptr.so,以及 /var/lib/library 目录下的所有文件。

2. 备份重要数据

备份所有重要数据。注意备份时应避免包含上述木马文件,以及其他执行文件或系统文件,以防其他未知木马文件被误备份。

3. 重装系统

请使用可信来源获取操作系统安装介质,重装系统后更新操作系统到最新版本,并应用所有安全补丁。

4. 加固系统安全

更新并加强密码策略。系统重装后,请立即更新用户的登录密码,安装并配置防病毒软件或防火墙。请参考: https://its.pku.edu.cn/faq_ssh.jsp

5. 持续监控和审计

定期审查系统和网络日志,关注任何非授权访问及异常行为;定期使用netstat, top, htop 等工具监控系统运行状态,检查是否存在异常网络连接以及进程。

有任何问题,可以通过如下方式联系我们:联系电话:010-62751023 , 邮箱:its@pku.edu.cn

 

北京大学计算中心

2024年04月18日


返回