本篇文章為大家展示了數千臺Linux主機被勒索該如何防御，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

創(chuàng)新互聯建站-專業(yè)網站定制、快速模板網站建設、高性價比許昌網站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式許昌網站制作公司更省心,省錢,快速模板網站建設找我們，業(yè)務覆蓋許昌地區(qū)。費用合理售后完善，10余年實體公司更值得信賴。

國外安全媒體先后報道了一款名為Lilocked的Linux勒索病毒，該勒索病毒目前為止已感染了6000+臺Linux主機，加密后綴為.lilocked。俄國的安全研究員認為，Lilocked很有可能是通過Exim郵件轉發(fā)軟件的最新遠程執(zhí)行漏洞CVE-2019-15846進行傳播的。

其實，這個勒索病毒從今年7月中旬就已經出現了，只不過當時“表現平平”，并沒有引起大眾的關注，但是在近期感染量突增，有爆發(fā)感染的趨勢。

使用Google搜索"#README.lilocked"關鍵字，可以關聯到約6340個結果，也就是說，公網上已知的Linux主機，有近6340個主機被該病毒勒索了，然而事實上被勒索的Linux主機肯定遠超這個數字，因為還有很多些未聯網或未被搜索引擎關聯到的主機。

使用zoomeye偵測這些主機的端口，發(fā)現大部分都開啟郵件的服務，以此推斷俄羅斯研究員關于Exim漏洞的說法還是有依據的。

勒索Tor地址為：y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion，跟Sodinokibi相似，需要輸入key才能跳轉到相應的勒索聯系界面，黑客提示想要解密文件，必須發(fā)送0.03個BTC到錢包地址1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef。

那么，Linux下的勒索病毒跟Windows平臺的勒索病毒有什么不同？該如何進行防御呢？其實，無論在什么平臺，勒索病毒的工作原理都是相似的：

殺軟檢測 -> 特定語言國家免疫 -> 生成加密密鑰 -> 遍歷除系統(tǒng)文件路徑以外的目錄 -> 加密特定后綴的文件 -> 刪除備份文件 -> 退出。

但Linux勒索病毒一般會比Windows勒索病毒多一個步驟，就是在開始前會利用漏洞進行提權，包括這次的Lilocked勒索病毒，也使用了未公開的漏洞將自身提升為root權限后再進行加密操作。下面就使用開源的Linux勒索病毒GonnaCry演示下，有無root權限情況下的運行情況。GonnaCry的功能比較簡單，使用AES算法加密文件內容，然后修改主機桌面。

在普通用戶權限下，GonnaCry幾乎無法完成加密操作，只能加密幾個臨時文件。

而當以root權限運行時，GonnaCry成功加密，主目錄下的doc文件都被加密成了GNNCRY后綴的文件。可見，Linux勒索病毒在有無root權限下運行，結果是截然不同的。

由于Linux操作系統(tǒng)的權限管控是很嚴格的，除非是在同一個用戶組里的用戶，不然是無法操作其他用戶的文件的，比如：若一個勒索病毒是通過redis漏洞進來的，那么它的所擁有者就是redis賬號（假設使用redis用戶啟動的應用），它將無法讀寫root、user1、user2等其他用戶的文件，這就是為什么Linux惡意軟件都想方設法進行提權的原因。

MSF上面有許多Linux提權漏洞的EXP，勒索病毒只需集成相關的核心代碼即可實現提權，提升到root權限之后，就能夠讀寫操作任意文件了。當然，若你的root密碼是弱密碼，勒索病毒也不用通過漏洞提權那么麻煩了，直接爆破密碼以root權限運行。

其實對于上述情況，Linux系統(tǒng)還是做出了相應的對策的，那就是SELinux和AppArmor。這兩者的主要作用就是采用MAC的策略，最大限度地減小系統(tǒng)中服務進程可訪問的資源（最小權限原則），即使是root用戶也無法隨意操作文件。網上也有相關的使用教程，若規(guī)則編寫得當的話，用來防御勒索行為還是挺有效的。

最后，總結一下Linux平臺下防御勒索病毒的幾點使用建議：

1. 盡量不要使用root權限運行Web應用程序。

2. 及時打上重要的補丁，防止應用程序被漏洞利用入侵。

3. root賬號增強密碼復雜性，避免被爆破。

4. 開啟SELinux、AppArmor等功能保護重要文件。

5. 部署終端安全軟件進行防護。

上述內容就是數千臺Linux主機被勒索該如何防御，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注創(chuàng)新互聯行業(yè)資訊頻道。

本文名稱：數千臺Linux主機被勒索該如何防御
URL鏈接：http://chinadenli.net/article8/jpspip.html

成都網站建設公司_創(chuàng)新互聯，為您提供移動網站建設、外貿網站建設、自適應網站、網站改版、搜索引擎優(yōu)化、全網營銷推廣

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯