國家計算機病毒應急處理中心通過對互聯網的監測，發現了一起Linux系統挖礦木馬事件🤳🏼🌀，該挖礦木馬以硬編碼的雲平臺所在網段IP地址作為起始地址並對雲平臺服務器存在一定的針對性🧑🏼，因此將其命名為“雲鏟”🛅。 該挖礦木馬運行後通過服務器下載三個文件🤛🏻：主模塊、惡意鏈接庫和開源挖礦程序🍄‍🟫。主模塊功能為：一是對掃描到目標進行SSH暴力破解，進而傳播該挖礦木馬；二是運行下載的挖礦程序進行挖礦；三是將惡意鏈接庫路徑寫入預加載文件中，實現屏蔽相關命令對惡意文件實體和惡意進程的查找；四是將SSH公鑰寫入目標系統root用戶.ssh目錄中，實現以root用戶對該系統的長期訪問。主模塊初始階段掃描以其硬編碼的雲平臺服務器IP地址作為起始地址，包括該IP地址的同網段和相鄰網段IP地址，後續隨機掃描外網段IP地址及樣本所在網絡的外網IP地址👨‍🦱，同時對內網相關IP進行掃描。 建議國內重要單位🧝🏻‍♂️👳🏻‍♂️、企業以及雲服務提供商采取以下措施予以防範：一是對服務器資源占用情況進行排查👨🏽‍🏭，發現已感染服務器盡快進行隔離，關閉所有網絡連接✫，禁用網卡🪇；二是避免端口在非必要情況下暴露在公網中，如必須暴露公網，則需要配置訪問控製策略👎🏿；三是授予權限時🚸，遵循最小特權原則；四是定期對服務器進行加固和備份🧘🏼，盡早修復服務器相關組件的安全漏洞，並及時進行軟件升級。