DDG僵尸网络“变种”来袭,腾讯安全提醒企业警惕服务器安全
曾经以暴破入侵LINUX系统挖矿而广为人知的DDG僵尸网络近期再次活跃。近日,腾讯安全检测发现DDG僵尸网络在近一个月内更新了9个版本,并通过攻击Linux系统进行挖矿,对服务器性能造成极大影响。腾讯安全专家提醒企业进一步加强对服务器的安全管理,同时建议部署腾讯T-Sec高级威胁检测系统等专业安全产品进行防御,防患未然。
DDG僵尸网络最早出现于2017年, 主要是通过对SSH服务和Redis服务器进行扫描暴破入侵LINUX系统,植入挖矿木马挖门罗币获利,腾讯安全威胁情报中心此前已多次披露该团伙的挖矿活动。最近一个月内,DDG僵尸网络更新频繁,平均每周更新两个版本,最新监测到的DDG挖矿木马于3月31日更新,目前已更新到DDG/5023版本。
与以往版本不同的是,最新版的DDG挖矿木马具有更高的对抗性。新版木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,平均每15分钟执行一次;为了延长挖矿木马在服务器的存活时间,最新版的DDG木马会通过下载uninstall.sh,quartz_uninstall.sh等脚本以卸载腾讯云云镜、阿里云安骑士等安全防护产品,逃避拦截和查杀;此外,还会通过修改hosts文件以屏蔽竞争木马的网址,达到独占系统资源的目的。
图:DDG挖矿木马卸载云服务器安防产品
鉴于病毒的挖矿行为对服务器性能产生的巨大影响,腾讯安全专家提醒企业管理员加强对Linux服务器的安全管理:管理员应避免使用弱口令,为Redis添加强密码验证;定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞。