注意！新型Linux挖礦木馬來襲

文/鄭先偉

11月教育網運行平穩(wěn)，未發(fā)現影響嚴重的安全事件。

11月網站類的安全事件有增加趨勢。

近期俄羅斯的反病毒軟件廠商 Dr.Web發(fā)現了一種新型的Linux系統(tǒng)木馬，區(qū)別于一般的木馬，這款新的木馬功能極其復雜，木馬的主體是一個包含一千多行代碼的巨型shell腳本。一旦該腳本在系統(tǒng)上被執(zhí)行后就會迅速找尋系統(tǒng)上有讀寫權限的目錄，然后把自身復制到該目錄并通過網絡下載其他功能模塊，如果發(fā)現自身權限較低，木馬還會利用系統(tǒng)上存在的權限提升漏洞來獲得系統(tǒng)最高權限。完成感染后木馬會清除系統(tǒng)上所有對自身有害的殺毒程序進程、將自己添加到系統(tǒng)的各項啟動任務中并使用rootkit替換系統(tǒng)關鍵進程，以保證自己能在系統(tǒng)中長期貯存并不被發(fā)現。值得注意的是該木馬會收集受控主機SSH協(xié)議有關的所有信息，包括聯(lián)入該主機和從該主機連出的SSH通訊的IP和用戶名及密碼，并利用掌握的密碼去嘗試連接其他主機，以達到傳播自身的目的。該木馬控制主機的最終目的是用來進行加密挖礦操作，這可能會導致系統(tǒng)的性能下降、網絡帶寬被大量占用，所以如果你發(fā)現自己的服務器出現了CPU性能或是網絡帶寬被莫名大量占用的情況，就要考慮是否被類似木馬感染了。

近期新增嚴重漏洞評述：

2018年10～11月安全投訴事件統(tǒng)計

1. 因進入了美國的新年季，微軟11月的例行安全公告修復的漏洞數量有所減少，此次共修補了64個漏洞，其中有12個屬于嚴重等級的漏洞。涉及的產品包括：Windows系統(tǒng)、Office辦公軟件、Edge瀏覽器、.net環(huán)境、Scripting Engine引擎、Windows系統(tǒng)上的Adobe軟件、Windows系統(tǒng)上的Flash player軟件等。用戶應該盡快安裝相應的補丁程序。相關漏洞詳情請參見：https://support.microsoft.com/en-us/help/20181113/security-update-deploymentinformation-november-13-2018。

另外需要提醒用戶的是，Windows 10系統(tǒng)在今年10月發(fā)布了大版本更新，但是在發(fā)布后出現大量不兼容的問題，導致微軟在隨后撤銷了該更新，在11月的更新中該版本被重新發(fā)布了，需要升級的Windows 10用戶可以進行升級。

2. VMware官方近日發(fā)布安全公告，修復了VMware ESXi，Workstation和Fusion中存在的兩個嚴重漏洞（CVE-2018-6981和CVE-2018-6982）。漏洞是由中國安全廠商長亭科技的安全團隊發(fā)現的，他們在上個月舉辦的全球安全極客大會上成功地利用了這兩個漏洞進行了虛擬機的安全逃逸攻擊演示。兩個漏洞均是由VMware虛擬機軟件在vmxnet3虛擬網絡適配器中存在未初始化的堆棧內存使用引起的。CVE-2018-6981漏洞允許客戶機在宿主機上執(zhí)行代碼，CVE-2018-6982漏洞則可能導致從宿主機到客戶機的信息泄露。需要注意的是，如果虛擬機產品沒有啟用vmxnet3虛擬適配器則不受以上問題影響。目前廠商已經針對這兩個漏洞發(fā)布了補丁程序，用戶應盡快根據自己的使用情況進行版本更新，具體的細節(jié)請參見廠商的公告：https://www.vmware.com/security/advisories/VMSA-2018-0027.html。

3. PHPCMS網站內容管理系統(tǒng)是國內主流CMS系統(tǒng)之一，同時也是一個開源的PHP開發(fā)框架，不少學校曾使用PHPCMS來搭建網站。PHPCMS最早于2008年推出，最新版已出到v9.6.3，但由于多種原因，時至今日PHPCMS2008版本仍被許多網站所使用。最近PHPCMS2008版本被發(fā)現存在一個通用的SQL注入漏洞，漏洞存在于一個叫type.php的文件中，攻擊者可以利用該漏洞向路徑可控的PHP網頁文件中寫入包含Webshell功能惡意腳本代碼，進而在服務器上執(zhí)行任意代碼。建議使用PHPCMS搭建網站的管理員盡快判斷自己網站PHPCMS的版本，如果是2008版應該馬上進行版本更新。

安全提示

我們在最近這段時間內受理了多起Linux系統(tǒng)感染木馬的事件，通過分析發(fā)現這些系統(tǒng)上并不存在明顯可被利用的程序漏洞，因此判斷木馬很大可能是通過合法的SSH賬號登錄被安裝到系統(tǒng)上的。而合法系統(tǒng)賬號泄漏的途徑可能包含以下幾種：

1. 系統(tǒng)賬號采用了弱密碼被暴力破解了；

2. 同網段里其他使用相同賬號和密碼的服務器被攻擊控制導致賬號密碼被泄露；

3. 與這臺服務器有過SSH連接的系統(tǒng)（SSH客戶端主機或是其他與這臺服務器有賬戶交互的服務器）被入侵控制。

因此我們建議管理員在關注自身服務器系統(tǒng)安全的同時也要關注與其有交互的其他服務器的安全狀況，同時盡可能地為不同的服務器配置不同的賬號及密碼。