Linux系統(tǒng)頻繁遭受DDG僵尸網(wǎng)絡(luò)攻擊

DDG僵尸網(wǎng)絡(luò)以前以入侵Linux系統(tǒng)而聞名，最近又重新活躍起來。 騰訊的安全測(cè)試最近顯示，DDG僵尸網(wǎng)絡(luò)上個(gè)月更新了9個(gè)版本，并攻擊了Linux系統(tǒng)以進(jìn)行挖掘，這對(duì)服務(wù)器性能產(chǎn)生了巨大影響。 騰訊安全專家提醒各公司進(jìn)一步加強(qiáng)服務(wù)器安全管理，并建議提供專業(yè)的安全產(chǎn)品，例如騰訊T-Sec的高級(jí)防御威脅檢測(cè)系統(tǒng)。

DDG僵尸網(wǎng)絡(luò)最早出現(xiàn)于2017年， 主要是通過對(duì)SSH服務(wù)和Redis服務(wù)器進(jìn)行掃描暴破入侵LINUX系統(tǒng)，植入挖礦木馬挖門羅幣獲利，騰訊安全威脅情報(bào)中心此前已多次披露該團(tuán)伙的挖礦活動(dòng)。最近一個(gè)月內(nèi)，DDG僵尸網(wǎng)絡(luò)更新頻繁，平均每周更新兩個(gè)版本，最新監(jiān)測(cè)到的DDG挖礦木馬于3月31日更新，目前已更新到DDG/5023版本。

與以往版本不同的是，最新版的DDG挖礦木馬具有更高的對(duì)抗性。新版木馬執(zhí)行后會(huì)請(qǐng)求下發(fā)配置文件，根據(jù)配置文件下載挖礦木馬wordpress及病毒腳本i.sh執(zhí)行，平均每15分鐘執(zhí)行一次;為了延長(zhǎng)挖礦木馬在服務(wù)器的存活時(shí)間，最新版的DDG木馬會(huì)通過下載uninstall.sh，quartz_uninstall.sh等腳本以卸載騰訊云云鏡、阿里云安騎士等安全防護(hù)產(chǎn)品，逃避攔截和查殺;此外，還會(huì)通過修改hosts文件以屏蔽競(jìng)爭(zhēng)木馬的網(wǎng)址，達(dá)到獨(dú)占系統(tǒng)資源的目的。

鑒于病毒的挖礦行為對(duì)服務(wù)器性能產(chǎn)生的巨大影響，騰訊安全專家提醒企業(yè)管理員加強(qiáng)對(duì)Linux服務(wù)器的安全管理：管理員應(yīng)避免使用弱口令，為Redis添加強(qiáng)密碼驗(yàn)證;定期對(duì)服務(wù)器進(jìn)行加固，盡早修復(fù)企業(yè)服務(wù)器相關(guān)組件的安全漏洞。

與此同時(shí)，基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)——騰訊T-Sec高級(jí)威脅檢測(cè)系統(tǒng)，能有效檢測(cè)黑客攻擊和挖礦行為，專家建議企業(yè)予以部署，及時(shí)發(fā)現(xiàn)企業(yè)面臨的潛在威脅。此外，企業(yè)也可在終端或服務(wù)器上部署騰訊T-Sec終端安全管理系統(tǒng)(御點(diǎn))，及時(shí)攔截惡意軟件等安全風(fēng)險(xiǎn)，或?qū)eb服務(wù)器部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)上，獲取專業(yè)安全廠商提供的防護(hù)。