一、概要

近日，华为云检测到互联网出现watchdogs挖矿病毒，被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况，并且会自动感染更多机器。攻击者主要利用Redis未授权访问和SSH弱口令等方式入侵服务器并通过内外网扫描感染更多机器，严重影响业务正常运行甚至导致崩溃。

华为云提醒各位租户及时安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

对互联网开放，并存在Redis未授权访问和SSH弱口令漏洞的主机可能被感染病毒

四、排查和处置方法

排查方法：

1.  Redis未授权访问：

·  设置安全组，禁止外网访问 Redis（重启Redis才能生效）

·  Redis是否以无密码或弱密码进行验证，请添加强密码验证（重启Redis才能生效）；

·   Redis服务是否以root账户运行，请以低权限运行Redis服务（重启Redis才能生效）；

2.  SSH弱口令：

·   设置安全组，禁止SSH对互联网开放或者点对点开放；

·   将SSH访问设置为秘钥访问或者设置为强口令。

处置方法：

若发现主机被入侵感染，请按照以下方法进行处置

1.  隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡；

2.  清理未知计划任务；

3.  删除恶意动态链接库 /usr/local/lib/libioset.so；

4.  排查清理 /etc/ld.so.preload 中是否加载3中的恶意动态链接库；

5.  清理 crontab 异常项，删除恶意任务(无法修改则先执行7-a)；

6.  终止挖矿进程；

7.  排查清理可能残留的恶意文件；

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8.  相关系统命令可能被病毒删除，可通过包管理器重新安装或者其他机器拷贝恢复；

9.  由于文件只读且相关命令被 hook，需要安装 busybox 通过 busybox rm 命令删除；

10. 重启机器。

注意：修复漏洞前请将资料备份，并进行充分测试。