Azure Lei Zhang的博客

weibo: LeiZhang的微博/QQ: 185165016/QQ群:319036205/邮箱:leizhang1984@outlook.com/TeL:139-161-22926

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
  390 随笔 :: 0 文章 :: 394 评论 :: 0 引用

  《Windows Azure Platform 系列文章目录

 

  1.之前客户遇到了Azure Linux CPU 100%,症状如下:

  

  2.SSH登录到Linux,查看crontab,有从pastebin.com平台下载未知文件的行为

  

 

  3.查看/usr/sbin目录,查看有可疑的目录

  

 

  4.查看相关的文档,发现这个是一个比特币挖矿病毒,我们搜索到Github上的杀毒脚本

  https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/blob/master/clear_kthrotlds.sh

  注意:该病毒会有变种,所以上面的shell命令,需要具体分析

 

  5.查杀完毕后,需要对Linux VM重启,以确认该病毒已经彻底去除

 

  6.最后在检查该Linux 环境,发现Redis对应的6379端口已经打开,暴露在公网上,且没有设置密码

  

  黑客应该是通过该漏洞攻击Azure Linux

 

  7.后续检查Azure虚拟机所在网络安全组,把不必要的端口都关闭,加固虚拟机安全

 

posted on 2019-08-12 12:19  Lei Zhang的博客  阅读(...)  评论(... 编辑 收藏