与Windows下的各种勒索病毒家族不同,Linux下的恶意软件只有少数几个家族,感染量很大。然而,这些家族却占据了全球感染宿主的绝大部分,几乎呈现出垄断趋势。本文将介绍Linux环境中比较常见和流行的7个恶意软件家族,以及它们对应的清除步骤。七大恶意软件家族BillGates于2014年首次被发现,因其样本包含多个包含字符串“gates”的变量和函数而得名。该病毒主要被黑客用于DDos。,netstat,ps,lsof)伪造主机中毒现象:[1]/tmp/目录下有gates.lod和moni.lod文件。[2]出现病毒文件夹/usr/bin/bsd-port/。[3]主机访问域名www.id666.pw。[4]系统文件(ss、netstat、ps、lsof)被篡改,修改时间异常。病毒清除步骤:[1]清除/usr/bin/bsd-port/getty、.ssh等病毒进程。[2]清除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒文件。[3]从/usr/bin/dpkgd/目录下恢复原来的系统文件。DDGDDG是目前更新最频繁的恶意软件家族,感染数量也非常庞大。黑客利用P2P协议控制这个僵尸网络,达到隐藏C&C的目的。该病毒的主要目的是蠕虫式挖矿,其特点是版本迭代过程中,病毒文件名保持符合ddg规范。和我。主机中毒现象:[1]/tmp/目录下出现ddgs.+编号的ELF文件。[2]有随机名称的文件,例如qW3xT。和/tmp/目录中的SzDXM。[3]下载i.sh有定时任务。病毒清除步骤:[1]清除乱名挖矿进程及对应文件。[2]删除父文件ddg.*。[3]删除带i.sh字符串的定时任务。[4]删除ssh缓存公钥authorized_keys。SystemdMinerSystemdMiner利用3种方式(YARN漏洞、Linux自动化运维工具、.ssh缓存key)传播。病毒早期的文件名有一个Systemd字符串,但后来的版本被替换成了一个随机的名字。它的特点是善于使用暗网代理进行C&C通信。主机中毒现象:[1]经常访问带有tor2web和洋葱字符串的域名。[2]Systemd文件出现在/tmp目录中(后来的版本有一个随机名称)。[3]有一个计划任务运行systemd-login(以后版本的随机名称)。病毒清除步骤:[1]清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。[2]清除随机名称的挖矿过程。[3]清除剩余的systemd-login和.sh病毒脚本。StartMinerStartMiner于今年2月被发现。之所以命名是因为它的进程和计划任务中包含字符串2start.jpg。该病毒通过ssh传播,其特点是会创建多个包含字符串2start.jpg的恶意定时任务。主机中毒现象:[1]定时任务中有包含2start.jpg的字符串。[2]/tmp/目录下有一个名为x86_的病毒文件。[3]/etc/cron.d中存在多个伪装的定时任务文件:apache、nginx、root。病毒清除步骤:[1]结束挖矿进程x86_。[2]删除所有带2start.jpg字符串的计划任务。[3]清除所有带有2start.jpg字符串的wget进程。WatchdogsMiner2019年发现了一个同样通过Redis未授权访问漏洞和SSH爆破传播的WatchdogsMiner家族。它之所以被命名是因为它会在/tmp/目录中释放一个名为watchdogs的父文件。WatchdogsMiner的初始版本将恶意代码托管在pastebin.com上以逃避检测,但后续版本已弃用它以支持其自己的C&C服务器.systemten.org。该病毒的特点是样本由go语言编译,并尝试了一个变相的hippies/LSD包(github_com_hippiesLSD)。主机中毒现象:[1]pastebin.com上有定时任务执行恶意代码。[2]/tmp/目录下有一个名为watchdogs的病毒文件。[3]访问*.systemten.org域名。病毒清除步骤:[1]删除恶意动态链接库/usr/local/lib/libioset.so[2]清理crontab异常项[3]使用kill命令终止挖矿进程[4]检查清理可能剩余的恶意文件:(a)chattr-i/usr/sbin/watchdogs/etc/init.d/watchdogs/var/spool/cron/root/etc/cron.d/root;(b)关闭chkconfig看门狗;(c)rm-f/usr/sbin/watchdogs/etc/init.d/watchdogs。[5]由于该文件是只读的,相关命令被hook,所以需要使用busyboxrm命令安装和删除busybox。XorDDosXorDDoS僵尸网络家族从2014年开始存活下来,因其在解密方法中大量使用异或运算而得名XorDDoS。其主要目的是DDos公网主机。随机名称进程不断出现,利用Rootkit技术隐藏通信IP和端口。主机中毒现象:[1]存在病毒文件/lib/libudev.so。[2]/usr/bin、/bin、/lib、/tmp目录下存在随机名称的病毒文件。[3]有执行gcc.sh的定时任务。病毒清除步骤:[1]清除/lib/udev/目录下的udev程序。[2]清除/boot下的随机恶意文件(10个随机字符串数字)。[3]清除/etc/cron.hourly/cron.sh和/etc/crontab定时器文件的内容。[4]如果有RootKit驱动模块,需要卸载对应的驱动模块。该恶意程序主要利用它来隐藏相关网络IP端口。[5]清除/lib/udev目录下的调试程序。RainbowMinerRainbowMiner自2019年以来频繁出现,以其访问的C&C域名命名,字符串为Rainbow。它最大的特点就是隐藏了挖矿进程kthreadds。侦查人员会发现主机的CPU占用率很高,但找不到可疑的地方。过程。主机中毒现象:[1]隐藏挖矿进程/usr/bin/kthreadds,主机CPU占用率高但看不到进程。[2]访问恶意域名Rainbow66.f3322.net。[3]创建ssh免密码登录公钥,实现持久化攻击。[4]有一个cron.py进程持久化守护者。病毒清除步骤:[1]下载busybox:wgethttp://www.busybox.net/downlo..._64。[2]使用busyboxtop定位挖矿进程kthreadds和父进程pdflushs,并清除。[3]删除/usr/bin/kthreadds和/etc/init.d/pdflushs文件,以及/etc/rc*.d/下的启动项。[4]删除/lib64/下的病毒伪装文件。[5]清除pythoncron.py进程。加固建议1.Linux恶意软件主要是挖矿。一旦主机被挖矿,CPU占用率就会很高,影响业务。因此,需要实时监控主机的CPU状态。2.定时任务是恶意软件常用的持久性攻击技术。您应该定期检查系统是否有可疑的定时任务。3、企业中还存在大量弱ssh密码,应及时更改为复杂密码,查看/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。4、定期检查web程序是否存在漏洞,特别注意Redis未授权访问等RCE漏洞。如有错误或其他问题,欢迎留言指正。如果有帮助,请点赞+转发分享。欢迎大家关注米公公的公众号:米公公的技术之路
