企业安全 ·

门罗币挖矿木马发掘及修复

门罗币木马病毒介绍:

随着比特币的成功,越来越多的山寨币开始模仿,因为有些人在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机。所以现在很多人后悔了,就开始寄托于别的币,所以有些人投入机器挖矿。而黑客呢,掌握技术也等同于掌握机器!也不是所有机器都能挖矿的 。

也许有些挖矿木马,有这一项功能 就是检测显卡 CPU挖矿。如果显卡满足条件就挖显卡, 如果没显卡就利用CPU挖矿。但是现在很多服务器都是不会有显卡的,基本黑客拿完服务器利用CPU挖矿。显卡卖的很贵现在 服务器上出现基本是很少,显卡类型有N卡 和A卡。所以二种显卡也需要区分去使用。

门罗币木马追查:

领导反映公司跳板机到达一台内网机cpu暴涨,于是我第一反应就是门罗币病毒。

上机查看:

 

除了正常项目之外有一个项目下普通用户起的bash进程 cpu占用简直可怕。
据经验发现加密字符串意思网络山寨币的电子钱包形式,取字符串“stratum+tcp://3565235355:443”百度后发现:
确凿为被植入挖矿程序。因所利用方式为消耗cpu,则断定入侵者跑起来的是门罗币的挖矿脚本。
top c查看:
搜索字符串“stratum+tcp://3565235355:443”  并不与百度资料所显特征相符,打听朋友处判断到是十进制ip地址:
转换后:
再访问:
1000%确诊机器被人植入门罗币挖矿脚本。
下意识切换做我是入侵者何不加一个定时脚本?
kill一次后观察:
kill两次后观察:
确凿为计划任务半小时执行一次。
查看计划任务:
设置了30分钟一次的执行脚本
在/var/tmp/目录下的.目录中的c被执行了。
我们追查进去看下:
hdfs建立了一个.+空格的隐藏目录,我们进入查看
ok,查到所执行的c文件。

修复建议:

官方日常第一轮

1、解绑公网ip,修改登录密码到强密码组合如(数字,大小写字母组合,特殊符号,16位以上)

2、升级openssh到7.5版本

3、重启服务器

4、限制root远程登录,清查所有已有用户,防止后门用户。

针对性修复:

1、kill高占用cpu的进程

2、清除定时任务文件如图:

3、将/var/tmp/“. “目录下文件删除

注意:目录名为英文双引号中间点+空格   /var/tmp/“. “

参与评论