《Windows Azure Platform 系列文章目录》
1.之前客户遇到了Azure Linux CPU 100%,症状如下:
2.SSH登录到Linux,查看crontab,有从pastebin.com平台下载未知文件的行为
3.查看/usr/sbin目录,查看有可疑的目录
4.查看相关的文档,发现这个是一个比特币挖矿病毒,我们搜索到Github上的杀毒脚本
https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/blob/master/clear_kthrotlds.sh
注意:该病毒会有变种,所以上面的shell命令,需要具体分析
5.查杀完毕后,需要对Linux VM重启,以确认该病毒已经彻底去除
6.最后在检查该Linux 环境,发现Redis对应的6379端口已经打开,暴露在公网上,且没有设置密码
黑客应该是通过该漏洞攻击Azure Linux
7.后续检查Azure虚拟机所在网络安全组,把不必要的端口都关闭,加固虚拟机安全