Linux/BSD 惡意軟件「Mumblehard」偵測及清理
發佈日期: 2015年05月06日
2101 觀看次數
(圖片由 Cypher789 創件:http://commons.wikimedia.org/wiki/File:Spam_2.jpg)
HKCERT 收到位於香港的 Linux 伺服器受 Mumblehard 惡意軟件感染的報告。此惡意軟件能夠將你的伺服器變成發出垃圾郵件的殭屍伺服器。HKCERT 將通知 ISP 受影響的 IP 地址。你可以根據本文的資料偵測及清理你的伺服器。
1. 背景
在 2015 年 4 月底,保安服務商 ESET 發出關於垃圾郵件殭屍惡意軟件 Mumblehard 的報告。根據報告,該惡意軟件被包裝成 ELF 二位元格式,並針對 Linux 或 BSD 系統。全球超過 3,000 部伺服器受感染,當中 31 部位於香港。該惡意軟件及其指揮伺服器(C&C)已活躍最少五年。
2. Mumblehard 惡意軟件的影響
- 受感染的伺服器會開啟後門與惡意軟件 C&C 伺服器聯絡,並接受指示發出大量垃圾郵件。
- 如果你的伺服器是電郵伺服器,很可能會被其他電郵伺服器列入黑名單。
- 由於相信受影響伺服器透過 WordPress 及 Joomla 漏洞感染,因此你的網站伺服器亦可能受其他漏洞影響(例如 Joomla brobot DDoS 惡意軟件)。
3. 如何偵測及移除 Mumblehard 惡意軟件
假如你懷疑伺服器受 Mumblehard 惡意軟件感染,請根據以下步驟檢查及清理你的伺服器:
- 由於惡意軟件透過 cron 程序每 15 分鐘啟動一次,請檢查並移伺服器內所有用戶的可疑 cron 程序。
- 該惡意軟件執行檔放在
/tmp
或/var/tmp
,請檢查並移除這兩個目錄內的可疑檔案。你亦可考慮掛載/tmp
目錄時使用noexec
選項。 - 如果伺服器安裝了 WordPress 及 Joomla,請安裝修補程式。
- 根據 ESET 的分析,DirectMailer 軟件開發商與 Mumblehard 惡意軟件有關。假如安裝了 DirectMailer,請移除該軟件。
4. 參考資料
- http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/
- [PDF] http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
- http://www.virusradar.com/en/Linux_Mumblehard/detail
- http://www.scmagazine.com/linux-malware-mumblehard-has-spamming-feature-backdoor-component/article/412561/
分享至