2019-08-30

关于近期服务器感染挖矿病毒实施网络攻击的紧急通知

尊敬的校园网用户:

近日计算中心通过监测和校园网用户报告,并由计算中心现场勘察并提取日志和恶意样本进行分析后,确认部分校园网Linux服务器感染挖矿病毒,进行挖矿与DDoS攻击。目前发现的感染原因全部是通过操作系统的ssh、ftp、telnet等服务的弱口令进入操作系统,再植入挖矿病毒。

判断服务器是否感染挖矿病毒:

  • 1、查看/usr/bin/或/etc/systcl/目录下存在config.json文件,该文件中包含如下类似内容:
    "pools": [
            {
                "url": "s1000.us:3333",
                "user": "r",
                "pass": "x",
                "keepalive": true,
                "nicehash": false,
                "variant": -1,
                "tls": false,
                "tls-fingerprint": null
            },
         ],

    其他病毒文件包括:
    • /usr/bin/org
    • /lib/scr.so
    • /lib/libdev.so.1
    • /etc/update
    • /etc/upgrade
    • /etc/systcl
    • /etc/systcl/systcl.conf
    • /usr/bin/config.json
    • /etc/ld.so.preload
  • 2、查看是否连接异常端口(3333或9832端口)。
  • 3、查看服务器是否有异常计划任务。

感染挖矿病毒的服务器的处理:

  • 1. 断开网络连接。
  • 2. 用移动硬盘拷贝出有用的数据。
  • 3. 低格硬盘。
  • 4. 重装操作系统。
  • 5. 清除不必要的系统和用户账号,关闭不必要的进程。
  • 6. Root用户口令设置为强口令,其他用户的口令也必须设置为强口令。
  • 7. Redis服务限源访问或设置访问认证。
  • 8. 启用系统防火墙,仅允许系统业务端口开放。
  • 9. 及时给系统和应用软件打补丁,修复漏洞。
  • 10. 导入备份数据,恢复应用系统。

密码设置方法:

  • 1. 不用弱密码,弱密码指仅包含简单数字或字母的组合,如:123、12345678、abc、root、admin等
  • 2. 避免“大众”密码,如:用户名、生日、abc123等
  • 3. 设一个自己能记住的密码,如:古诗词、一句话缩写+数字/字符等,bqllyhy_201809(八千里路云和月)

联系方式:

电话:62751023,邮箱:its@pku.edu.cn

 

北京大学计算中心

2019年08月30日


返回