首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

安恒EDR提示：云平臺bffbe挖礦爆發(fā)，請留意機(jī)器資源消耗情況！

閱讀量：次

隨著企業(yè)上云進(jìn)程的不斷推進(jìn)，無處不在的挖礦病毒也將攻擊目標(biāo)鎖定在企業(yè)云與數(shù)據(jù)中心。企業(yè)云及數(shù)據(jù)中心擁有龐大數(shù)量的工業(yè)級硬件，一旦被挖礦病毒成功侵入，就會快速組建數(shù)量龐大的挖礦網(wǎng)絡(luò)，利用更多的高性能挖礦主機(jī)，牟取更大的暴利。

近期，云平臺bffbe挖礦事件呈爆發(fā)式增長，常見的現(xiàn)象包含占用超高CPU、進(jìn)程查殺后自啟動、病毒源文件存放在較多位置難以清除等。如果您的服務(wù)器資源消耗情況異常，就需要密切關(guān)注了。

下面，我們分享一起bffbe挖礦處置的案例，看安恒EDR如何快速、高效地破解。

bffbe挖礦處置

某客戶發(fā)現(xiàn)，自己的云平臺服務(wù)器疑似被挖礦木馬入侵，導(dǎo)致cpu占用逼近臨界值，急需解決，否則將進(jìn)一步對業(yè)務(wù)正常運(yùn)行造成影響。該客戶緊急聯(lián)系了安恒信息的工程師，通過安裝安恒EDR進(jìn)行安全處置。

1、登錄服務(wù)器，發(fā)現(xiàn)未知進(jìn)程占用了98.9%的CPU，消耗了超高的服務(wù)器性能。

2、在該服務(wù)器上安裝安恒EDR客戶端，并在EDR管控中心開啟文件訪問控制，查看日志可以看到告警病毒文件/root/.bffbe被創(chuàng)建和改寫。

3、通過對該服務(wù)器進(jìn)行病毒查殺，掃描出病毒文件/root/.bffbe和/opt/bffbe。

查看惡意程序，可以看到該程序是通過base64加密處理過的，加密的內(nèi)容解密后可以明顯看到該程序的外聯(lián)行為。

4、使用安恒EDR病毒掃描功能對病毒文件進(jìn)行隔離并刪除操作。

5、檢查定時任務(wù)，crontab -l可以看到被病毒文件改寫的定時任務(wù)，手動刪除該定時任務(wù)。

進(jìn)入/etc/cron.d/，刪除0bffbe文件。

6、從解密的病毒文件中還可看到惡意程序守護(hù)進(jìn)程相關(guān)的信息存放在/tmp/.X11-unix下，進(jìn)入該目錄可查看惡意進(jìn)程的ID，手動刪除該文件并kill相關(guān)進(jìn)程。

7、刪除ssh免密登錄。

cd /root/.ssh/

rm -rf authorized_keys

8、該挖礦病毒往往是利用?Redis?漏洞，需要修復(fù)漏洞并按以下步驟操作。

1)?為 Redis 添加密碼驗證

2) 禁?外?訪問 Redis

3) 以低權(quán)限運(yùn)?Redis服務(wù)

4) 重啟redis使上述步驟生效

安恒EDR加固建議

如何對服務(wù)器進(jìn)行加固？利用安恒EDR，分這幾步走：

1、配置定期巡檢，定期掃描弱口令、病毒、漏洞，并根據(jù)掃描結(jié)果進(jìn)行處置。

2、配置微隔離，阻斷高危端口，阻斷病毒傳播途徑。

3、配置違規(guī)外聯(lián)，阻斷異常外聯(lián)行為。

安恒EDR簡介

安恒EDR是一款集成了豐富的系統(tǒng)防護(hù)與加固、網(wǎng)絡(luò)防護(hù)與加固等功能的主機(jī)安全產(chǎn)品。安恒EDR通過自主研發(fā)的文件誘餌引擎，有著業(yè)界領(lǐng)先的勒索專防專殺能力；通過內(nèi)核級東西向流量隔離技術(shù)，實現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計、違規(guī)外聯(lián)檢測與阻斷等主機(jī)安全能力。

作為一款主機(jī)安全產(chǎn)品，對多種網(wǎng)絡(luò)安全防護(hù)能力進(jìn)行了集成，擁有極強(qiáng)的兼容性，并能夠和多款產(chǎn)品形成聯(lián)動，滿足多場景下應(yīng)用以及不同用戶的安全需求。目前，安恒EDR已全面應(yīng)用于政府、公安、醫(yī)療等行業(yè)，對數(shù)據(jù)進(jìn)行了全方位的防護(hù)，滿足了客戶對于終端管控的需求，很好地解決了數(shù)據(jù)外泄和風(fēng)險入侵等問題。

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

安恒EDR提示：云平臺bffbe挖礦爆發(fā)，請留意機(jī)器資源消耗情況！

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)

安恒EDR提示：云平臺bffbe挖礦爆發(fā)，請留意機(jī)器資源消耗情況！