RainbowMiner自2019年就频繁出现,由于其访问的C&C域名带有Rainbow字符串而得名,其最大的特点是会隐藏挖矿进程kthreadds,排查人员会发现主机CPU占用率高,但找不到可疑进程。为了躲避DDG及安全人员的查杀,其采用了多种方式进行隐藏及持久化攻击,由于其会访问域名Rainbow66.f3322.net,是一个“求生欲“极强的Linux挖矿病毒家族。
主机中毒现象:
1、隐藏挖矿进程/usr/bin/kthreadds,主机CPU占用率高但看不到进程。
2、访问Rainbow66.f3322.net恶意域名。
3、创建ssh免密登录公钥,实现持久化攻击。
4、存在cron.py进程持久化守护。
病毒清除步骤:
1、下载busybox:wget http://www.busybox.net/downlo…_64。
2、使用busybox top定位到挖矿进程kthreadds及母体进程pdflushs,并清除。
3、删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的启动项。
4、删除/lib64/下的病毒伪装文件。
5、清除python cron.py进程。
加固建议:
1、Linux恶意软件以挖矿为主,一旦主机被挖矿了,CPU占用率高,将会影响业务,所以,需要实时监控主机CPU状态。
2、定时任务是恶意软件惯用的持久化攻击技巧,应定时检查系统是否出现可疑定时任务。
3、企业还大量存在ssh弱密码的现象,应及时更改为复杂密码,且检查在/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。
4、定时检查Web程序是否存在漏洞,特别关注Redis未授权访问等RCE漏洞。
推荐:
CPU:E5-2650LV2
内存:16GB
硬盘:1TB SATA
带宽:20M CIA
IP:3个
