注意！新型Linux挖礦木馬來襲

文/鄭先偉

11月教育網運行平穩，未發現影響嚴重的安全事件。

11月網站類的安全事件有增加趨勢。

近期俄羅斯的反病毒軟件廠商 Dr.Web發現了一種新型的Linux系統木馬，區別于一般的木馬，這款新的木馬功能極其復雜，木馬的主體是一個包含一千多行代碼的巨型shell腳本。一旦該腳本在系統上被執行后就會迅速找尋系統上有讀寫權限的目錄，然后把自身復制到該目錄并通過網絡下載其他功能模塊，如果發現自身權限較低，木馬還會利用系統上存在的權限提升漏洞來獲得系統最高權限。完成感染后木馬會清除系統上所有對自身有害的殺毒程序進程、將自己添加到系統的各項啟動任務中并使用rootkit替換系統關鍵進程，以保證自己能在系統中長期貯存并不被發現。值得注意的是該木馬會收集受控主機SSH協議有關的所有信息，包括聯入該主機和從該主機連出的SSH通訊的IP和用戶名及密碼，并利用掌握的密碼去嘗試連接其他主機，以達到傳播自身的目的。該木馬控制主機的最終目的是用來進行加密挖礦操作，這可能會導致系統的性能下降、網絡帶寬被大量占用，所以如果你發現自己的服務器出現了CPU性能或是網絡帶寬被莫名大量占用的情況，就要考慮是否被類似木馬感染了。

近期新增嚴重漏洞評述：

2018年10～11月安全投訴事件統計

1. 因進入了美國的新年季，微軟11月的例行安全公告修復的漏洞數量有所減少，此次共修補了64個漏洞，其中有12個屬于嚴重等級的漏洞。涉及的產品包括：Windows系統、Office辦公軟件、Edge瀏覽器、.net環境、Scripting Engine引擎、Windows系統上的Adobe軟件、Windows系統上的Flash player軟件等。用戶應該盡快安裝相應的補丁程序。相關漏洞詳情請參見：https://support.microsoft.com/en-us/help/20181113/security-update-deploymentinformation-november-13-2018。

另外需要提醒用戶的是，Windows 10系統在今年10月發布了大版本更新，但是在發布后出現大量不兼容的問題，導致微軟在隨后撤銷了該更新，在11月的更新中該版本被重新發布了，需要升級的Windows 10用戶可以進行升級。

2. VMware官方近日發布安全公告，修復了VMware ESXi，Workstation和Fusion中存在的兩個嚴重漏洞（CVE-2018-6981和CVE-2018-6982）。漏洞是由中國安全廠商長亭科技的安全團隊發現的，他們在上個月舉辦的全球安全極客大會上成功地利用了這兩個漏洞進行了虛擬機的安全逃逸攻擊演示。兩個漏洞均是由VMware虛擬機軟件在vmxnet3虛擬網絡適配器中存在未初始化的堆棧內存使用引起的。CVE-2018-6981漏洞允許客戶機在宿主機上執行代碼，CVE-2018-6982漏洞則可能導致從宿主機到客戶機的信息泄露。需要注意的是，如果虛擬機產品沒有啟用vmxnet3虛擬適配器則不受以上問題影響。目前廠商已經針對這兩個漏洞發布了補丁程序，用戶應盡快根據自己的使用情況進行版本更新，具體的細節請參見廠商的公告：https://www.vmware.com/security/advisories/VMSA-2018-0027.html。

3. PHPCMS網站內容管理系統是國內主流CMS系統之一，同時也是一個開源的PHP開發框架，不少學校曾使用PHPCMS來搭建網站。PHPCMS最早于2008年推出，最新版已出到v9.6.3，但由于多種原因，時至今日PHPCMS2008版本仍被許多網站所使用。最近PHPCMS2008版本被發現存在一個通用的SQL注入漏洞，漏洞存在于一個叫type.php的文件中，攻擊者可以利用該漏洞向路徑可控的PHP網頁文件中寫入包含Webshell功能惡意腳本代碼，進而在服務器上執行任意代碼。建議使用PHPCMS搭建網站的管理員盡快判斷自己網站PHPCMS的版本，如果是2008版應該馬上進行版本更新。

安全提示

我們在最近這段時間內受理了多起Linux系統感染木馬的事件，通過分析發現這些系統上并不存在明顯可被利用的程序漏洞，因此判斷木馬很大可能是通過合法的SSH賬號登錄被安裝到系統上的。而合法系統賬號泄漏的途徑可能包含以下幾種：

1. 系統賬號采用了弱密碼被暴力破解了；

2. 同網段里其他使用相同賬號和密碼的服務器被攻擊控制導致賬號密碼被泄露；

3. 與這臺服務器有過SSH連接的系統（SSH客戶端主機或是其他與這臺服務器有賬戶交互的服務器）被入侵控制。

因此我們建議管理員在關注自身服務器系統安全的同時也要關注與其有交互的其他服務器的安全狀況，同時盡可能地為不同的服務器配置不同的賬號及密碼。