SystemdMiner使用3种方式(YARN漏洞、Linux自动化运维工具、.ssh缓存密钥)进行传播,该病毒前期的文件命名带有Systemd字符串,而后期版本已更换为随机名,其特点是,善用暗网代理来进行C&C通信。该病毒木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。
主机中毒现象:
1、定时访问带有tor2web、onion字符串的域名。
2、在/tmp目录下出现systemd的文件(后期版本为随机名)。
3、存在运行systemd-login的定时任务(后期版本为随机名)。
病毒清除步骤:
4、清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。
5、清除随机名的挖矿进程。
6、清除残留的systemd-login和.sh病毒脚本。
阿里大带宽服务器首月半价促销,详细咨询QQ:80496086
推荐:
CPU:Xeon E3-1260(四核)
内存:8 GB
硬盘:1T sata/240G ssd
带宽:回国带宽50M
IP:1个
