各有关单位，全体校园网用户：

近期党委网信办通过流量监测、第三方预警信息和校园网用户报告，经现场勘察和样本分析后，确认有部分校园网内Linux服务器感染木马病毒。已知的被感染原因均为ssh、telnet等服务有弱口令问题，攻击者可获取主机控制权限，植入木马病毒，进行挖矿、网络攻击和横向传播等恶意行为，或对服务器上的文件进行窃取、删除或恶意加密；且此类病毒可以感染限制校内访问（无校园网账号或未登录校园网账号）的主机，安全风险极大。请拥有和使用校园网内服务器的单位和师生用户按照以下提示开展防范处置工作。

如何判断服务器是否已经感染病毒：

1. 执行“netstat -anplt | more”命令查看系统网络连接，检查是否存在异常网络连接，如：对外连接异常端口（1234、8831、5555、9999等端口）或者对外发起的大量ssh连接等。

2. 执行“ps -aux | more”命令查看系统进程，检查是否存在masscan、haiduc以及大量的sshd进程等。

3. 执行“crontab -l”命令，检查服务器是否存在未知的计时任务。

4. 执行“screen -ls”命令，查看是否存在隐藏窗口。

5. 检查/tmp/.font-unix/目录（路径不固定）下是否存在未知文件，如：/phoenixminer/、/.md/haiduc、/.md/a、/.md/start等。病毒主要利用haiduc工具进行ssh爆破，可通过执行“find / -name haiduc”命令查找确认。

对发现感染木马病毒的服务器的处理：

1. 立即断开网络连接（物理），并向党委网信办报告。

2. 使用其他物理介质对有价值的文件进行备份，尽量逐一备份单个文件，避免打包时无意中保留了恶意文件，并对备份的文件进行病毒查杀。

3. 对硬盘进行格式化处理，并重装操作系统。

4. 检查系统账号及进程，清除不必要的账号，关闭不必要的进程并确保不会自启动。

5. 为账号特别是root用户账号设置强口令，添加访问限制策略，禁止使用root用户直接远程登录系统。

6. 启用系统防火墙，添加访问限制策略，仅开放系统业务所必须使用的端口。

7. 及时为操作系统和应用软件安装补丁更新，修复漏洞。

8. 完成上述步骤之后导入备份数据，恢复业务应用，在2-3日内持续进行观察，并按照上一章的方法检查是否再次被感染。

9. 在后续使用过程中定期观察服务器进程及占用情况，发现异常及时向党委网信办报告。 

密码设置原则：

1. 不使用弱密码作为口令，弱密码指仅包含简单数字或字母组合的密码，如：123、12345678、abc、root、admin等。

2. 避免使用存在社会工程学属性的密码，如：用户名、生日、电话号码、地址门牌等，此类密码易被攻击者利用用户个人信息生成定制字典进行爆破。

3. 避免与用户个人在其他社交账号及互联网应用中使用相同的密码，攻击者可能利用从黑产等其他途径购买到的密码库进行撞库攻击。

4. 避免多个服务器使用相同账号密码，避免同一服务器多个账号使用相同密码，避免密码设置存在特征性、规律性。

联系人：刘振昌  谢媛

联系电话：23509412 23509595

南开大学党委网信办

2021年11月11日