首 页  中心概况  网络管理  现教技术  一卡通  下载专区  常用服务入口 
当前位置: 首 页>>网络管理>>信息网络安全>>正文
病毒预报 第八百七十七期
2021-03-17 22:58  

病毒预报 第八百七十七期

国家计算机病毒应急处理中心通过对互联网的监测,发现了一起Linux系统挖矿木马事件,该挖矿木马以硬编码的云平台所在网段IP地址作为起始地址并对云平台服务器存在一定的针对性,因此将其命名为“云铲”。 该挖矿木马运行后通过服务器下载三个文件:主模块、恶意链接库和开源挖矿程序。主模块功能为:一是对扫描到目标进行SSH暴力破解,进而传播该挖矿木马;二是运行下载的挖矿程序进行挖矿;三是将恶意链接库路径写入预加载文件中,实现屏蔽相关命令对恶意文件实体和恶意进程的查找;四是将SSH公钥写入目标系统root用户.ssh目录中,实现以root用户对该系统的长期访问。主模块初始阶段扫描以其硬编码的云平台服务器IP地址作为起始地址,包括该IP地址的同网段和相邻网段IP地址,后续随机扫描外网段IP地址及样本所在网络的外网IP地址,同时对内网相关IP进行扫描。 建议国内重要单位、企业以及云服务提供商采取以下措施予以防范:一是对服务器资源占用情况进行排查,发现已感染服务器尽快进行隔离,关闭所有网络连接,禁用网卡;二是避免端口在非必要情况下暴露在公网中,如必须暴露公网,则需要配置访问控制策略;三是授予权限时,遵循最小特权原则;四是定期对服务器进行加固和备份,尽早修复服务器相关组件的安全漏洞,并及时进行软件升级。

联系方式:

国家计算机病毒应急处理中心

计算机病毒防治产品检验中心

打印    收藏
上一条:病毒预报 第八百八十期
下一条:春节个人信息安全指引
关闭窗口
热点关注

版权所有: 山东省淄博师范高等专科学校 信息网络中心
地址:山东省淄博市淄川经济开发区唐骏欧铃路99号 邮编:255130 电话:0533-3821696
推荐使用1024*768分辨率浏览