Comment
Author: Admin | 2025-04-28
前言1月23日,公司邮箱收到说阿里云报了挖矿病毒的警告1、分析这次思路改进了些,起初有个只是定时任务没被清理,阿里云通过定时任务关键字"pool.minexmr.com:4444"报了蠕虫病毒,但是根据关键字查看,这像挖矿然后 top 了半天没看到结果,怀疑是top被篡改了???然后进了/usr/bin/核对下 top 的时间,发现没差异呀,但是本着稳妥起见,还是下载 busybox1234wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox chmod +x busyboxcp busybox /usr/bin busybox top2、按步骤排查剩余步骤跟挖矿病毒2-分析和排查思路一样,只是所有的命令前面是 busybox command查到的一些异常样例案例1:12> cat oracle 2 * * * * /home/oracle/.dhpcd -o pool.minexmr.com:4444 -t8 --safe -B >/dev/null 2>/dev/null案例2:1234567> cat admin *3 * * * * /var/tmp/.xri/monitor> ps -auxf | grep adminroot 746 0.0 0.0 112712 960 pts/0 S+ 15:56 0:00 \_ grep --color=auto adminadmin 5846 0.0 0.0 113320 1520 ? S 2021 10:28 /bin/bash /dev/shm/.x/scpadmin 739 0.0 0.0 107956 356 ? S 15:56 0:00 \_ sleep 10案例3: 1 2 3 4 5 6 7 8 91011121314151617> busybox toptop - 10:20:08 up 144 days, 9:05, 2 users, load average: 12.07, 12.04, 12.00Tasks: 295 total, 1 running, 171 sleeping, 1 stopped, 0 zombie%Cpu(s): 50.2 us, 0.1 sy, 0.0 ni, 49.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 stKiB Mem : 47886084 total, 35389780 free, 4350740 used, 8145564 buff/cacheKiB Swap: 969964 total, 969964 free, 0 used. 42956764 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1505 root 15 -5 4970560 1.156g 10548 S 1200 2.5 40033,13 xmrig> ps -axuf | grep 1505root 32603 0.0 0.0 14428 1008 pts/2 S+ 10:21 0:00 \_ grep --color=auto 1505root 1505 1155 2.5 4970560 1212316 pts/1 S2021 2402005:53 \_ ./xmrig -o xmr-us-east1.nanopool.org:14444 -u *********48Vd2N2gGEUQfCRq4ooQuZGjknDtCdGRDiVEyoHNL5wSevPCmcewry41DtD4d********* -k --coin monero -a rx/0****替换了钱包地址部分字母案例4:12345/usr/sbin/kerberods恶意文件md5:eec085bae7c4dfcdcb353b095b8375fa/dev/shm/.x/secure恶意文件md5:388826af99f6a6ad3c104959f52ea7833、整理下一些共性问题3.1 crontab -l失效crontab -l查不到但是查看/var/log/cron还是会有挖矿的定时任务挖矿病毒的定时任务喜欢藏在/var/spool/cron/这里3.2 喜欢隐藏在/tmp或/var这些临时目录不光喜欢临时目录,而且都是隐藏格式的文件夹,ls 不带-a 的话可能就没法发现守护进程和病毒本体放在不同隐藏目录,狡兔三窟123/dev/shm/.x/secure/var/tmp/.xri/monitor/home/oracle/.dhpcd3.3 清理系统日志日志和痕迹基本上都被清理干净,很难找到一些蛛丝马迹其他日志记录:echo 0>/var/spool/mail/rootlast日志echo 0>/var/log/wtmpecho 0>/var/log/secureecho 0>/var/log/cronhistory日志 echo > /root/.bash_historyhistory -c查看机器创建以来登陆过的用户/var/log/wtmp查看机器当前登录的全部用户/var/run/utmp登录信息/var/log/secure3.4 前置脚本布置环境有部分病毒前置脚本加工成二进制,有部分直接 curl 从远程获取并无痕执行很难提取到前置脚本3.5 挖矿本体程序都是二进制或加壳通过 top 、 ps -axuf 或 lsof -i 找到异常进程并跟踪到挖矿本体目录后,发现这些挖矿程序本体都是 ELF 的二进制,有的甚至加壳ELF用ida pro 分析下,汇编晦涩难懂,只能提取是否还有价值的信息加壳更加不擅长砸壳,只能点到位置,把病毒本体和守护进程、定时任务这些清理干净还原3.6 部份挖矿病毒还会感染部分挖矿病毒还会通过 .ssh/know_hosts 文件进行感染,需要注意排查3.7 部分挖矿病毒会伪装成系统进程部分挖矿病毒还会伪装成系统进程,比如kerberdos,直接安装到/user/sbin 目录下3.9 部分挖矿病毒会篡改top grep等系统命令部分挖矿病毒还会篡改top、grep等系统基础命令,达到过滤病毒本体的目录,这点通过 busybox 即可解决3.10 部分挖矿病毒感染途径是开源软件的漏洞比如jekins、redis、apache、文件上传漏洞3.11 部分挖矿病毒比较克制,不占满cpu部分病毒为了达到细水长流的目的,不会跑满所有cpu核心,会伪装成系统进程并只占用一些程序常规的占用率,达到细水长流的目的3.12 部分挖矿病毒是针对容器化的比如针对docker,不过目前为止,发现的几期都是针对ECS的4、防护建议4.1 注意账号密码保管不要设置过于简单的密码4.2 使用堡垒机目前有一例怀疑是外包开发监守自盗,自己安装了开源挖矿程序,并且本地编译然后启动的4.3 控制端口按白名单规则开放,只开放需要的端口,其他端口禁止4.4 云服务器的云盾产品尽量安装云盾产品能够多方位检测入侵和病毒,比如通过病毒本体的 hash 值、异常进程、异常cpu 占用率等因素提醒你服务器异常并排查4.5 不要图方便直接开公网地址和端口尽量通过堡垒机跳转或者 VPN 跳转,一般应用都是通过 nginx 或者 slb 提供80 443访问的,不会直连服务器,自己方便了,没加固做好防护就是给这些病毒可乘之机4.6 第三方开源工具需要关注,定期升级关注第三方开源工具是否存在0day 漏洞等,第三方开源工具的 CVE 带来的危害也很大4.7 做好网络规划隔离规划好网络,测试、生产、办公环境等做好虚拟隔离5、挖矿病毒的参考挖矿进程——pool.minexmr.com的解决办法1: https://blog.csdn.net/dot_life/article/details/105480202挖矿进程——pool.minexmr.com的解决办法2: https://blog.csdn.net/qq_16845639/article/details/77650271kerberods挖矿病毒查杀及分析: https://blog.csdn.net/u010457406/article/details/89328869
Add Comment