Linux系统频繁遭受DDG僵尸网络攻击

DDG僵尸网络以前以入侵Linux系统而闻名，最近又重新活跃起来。 腾讯的安全测试最近显示，DDG僵尸网络上个月更新了9个版本，并攻击了Linux系统以进行挖掘，这对服务器性能产生了巨大影响。 腾讯安全专家提醒各公司进一步加强服务器安全管理，并建议提供专业的安全产品，例如腾讯T-Sec的高级防御威胁检测系统。

DDG僵尸网络最早出现于2017年， 主要是通过对SSH服务和Redis服务器进行扫描暴破入侵LINUX系统，植入挖矿木马挖门罗币获利，腾讯安全威胁情报中心此前已多次披露该团伙的挖矿活动。最近一个月内，DDG僵尸网络更新频繁，平均每周更新两个版本，最新监测到的DDG挖矿木马于3月31日更新，目前已更新到DDG/5023版本。

与以往版本不同的是，最新版的DDG挖矿木马具有更高的对抗性。新版木马执行后会请求下发配置文件，根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行，平均每15分钟执行一次;为了延长挖矿木马在服务器的存活时间，最新版的DDG木马会通过下载uninstall.sh，quartz_uninstall.sh等脚本以卸载腾讯云云镜、阿里云安骑士等安全防护产品，逃避拦截和查杀;此外，还会通过修改hosts文件以屏蔽竞争木马的网址，达到独占系统资源的目的。

鉴于病毒的挖矿行为对服务器性能产生的巨大影响，腾讯安全专家提醒企业管理员加强对Linux服务器的安全管理：管理员应避免使用弱口令，为Redis添加强密码验证;定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞。

与此同时，基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据研发出的独特威胁情报和恶意检测模型系统——腾讯T-Sec高级威胁检测系统，能有效检测黑客攻击和挖矿行为，专家建议企业予以部署，及时发现企业面临的潜在威胁。此外，企业也可在终端或服务器上部署腾讯T-Sec终端安全管理系统(御点)，及时拦截恶意软件等安全风险，或将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上，获取专业安全厂商提供的防护。