HKCert
保安博錄

Linux/BSD 惡意軟件「Mumblehard」偵測及清理

發布日期: 06 / 05 / 2015
最後更新: 06 / 05 / 2015

(圖片由 Cypher789 創件:http://commons.wikimedia.org/wiki/File:Spam_2.jpg

 

 

HKCERT 收到位於香港的 Linux 伺服器受 Mumblehard 惡意軟件感染的報告。此惡意軟件能夠將你的伺服器變成發出垃圾郵件的殭屍伺服器。HKCERT 將通知 ISP 受影響的 IP 地址。你可以根據本文的資料偵測及清理你的伺服器。

 

1. 背景

在 2015 年 4 月底,保安服務商 ESET 發出關於垃圾郵件殭屍惡意軟件 Mumblehard 的報告。根據報告,該惡意軟件被包裝成 ELF 二位元格式,並針對 Linux 或 BSD 系統。全球超過 3,000 部伺服器受感染,當中 31 部位於香港。該惡意軟件及其指揮伺服器(C&C)已活躍最少五年。

 

2. Mumblehard 惡意軟件的影響

  • 受感染的伺服器會開啟後門與惡意軟件 C&C 伺服器聯絡,並接受指示發出大量垃圾郵件。
  • 如果你的伺服器是電郵伺服器,很可能會被其他電郵伺服器列入黑名單。
  • 由於相信受影響伺服器透過 WordPress 及 Joomla 漏洞感染,因此你的網站伺服器亦可能受其他漏洞影響(例如 Joomla brobot DDoS 惡意軟件)。

 

3. 如何偵測及移除 Mumblehard 惡意軟件

假如你懷疑伺服器受 Mumblehard 惡意軟件感染,請根據以下步驟檢查及清理你的伺服器:

  • 由於惡意軟件透過 cron 程序每 15 分鐘啟動一次,請檢查並移伺服器內所有用戶的可疑 cron 程序。
  • 該惡意軟件執行檔放在 /tmp/var/tmp,請檢查並移除這兩個目錄內的可疑檔案。你亦可考慮掛載 /tmp 目錄時使用 noexec 選項。
  • 如果伺服器安裝了 WordPress 及 Joomla,請安裝修補程式。
  • 根據 ESET 的分析,DirectMailer 軟件開發商與 Mumblehard 惡意軟件有關。假如安裝了 DirectMailer,請移除該軟件。

 

4. 參考資料

  1. http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/
  2. [PDF] http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
  3. http://www.virusradar.com/en/Linux_Mumblehard/detail
  4. http://www.scmagazine.com/linux-malware-mumblehard-has-spamming-feature-backdoor-component/article/412561/