一. 簡介
本文只基礎說明遇到挖礦病毒的簡單快速的處理思路,現實生產中遇到的病毒複雜的多。當企業面對病毒攻擊的時候,一定要儘快交予專業安全人士處理,減少損失。
二. 實現過程(研究內容)
以linux系統為例,對中毒主機進行斷網隔離後,查詢挖礦病毒的基本操作:
1尋找程式,使用命令:Top
2刪除程式,使用命令:kill -i PID
3刪除檔案,使用命令:rm -rf
後續處理:溯源分析,修補漏洞,安全加固
三. 檢測方式(防禦建議)
挖礦病毒特徵:最大的特徵就是主機的cpu資源佔用,可以直接使用top命令檢視程式來發現可疑程式。一般情況下,cpu使用居高不下的就是挖礦程式了。
根據程式的pid找到程式的檔案路徑,然後刪除檔案,殺死程式
圖1:確認挖礦程式
刪除程式,命令:kill -9 PID
圖2:程式清除
尋找檔案,命令:ls -l /proc/PID/exe
刪除檔案,命令:rm -rf
圖3:尋找並刪除惡意檔案
如果你不確定檔案是否有毒,那可以將可疑檔案上傳到線上沙箱,如微步和virustotal。要是檔案已經沒了,你可以把程式dump下來再上傳。
圖4:線上沙箱結果
到這只是針對挖礦程式的基本處理,後續還要做這幾件事。
1檢查網路連線是否有C2通訊,檢視是否有其他非正常連線
重點關注防火牆iptables,命令:iptables -L -n
2檢查最近修改的檔案,避免遺漏,因為挖礦病毒,往往還攜帶者其他病毒或工具包
命令:find /etc -ctime -2 (命令解釋:指定目錄/etc,且近2天內的新增檔案)
3修補漏洞並加固系統
3.1你可以使用上述提到的沙箱確定病毒的家族,然後使用搜素引擎確認使用的漏洞, 並與自己的系統做比對
3.2透過病毒的行為確認漏洞。最常見的就是爆破各種服務的弱口令和未授權等。
列舉處理中會遇到的一些問題,推薦幾個小技巧
使用top命令時,未發現cpu佔用率高的程式?
1.系統命令被修改:
建議直接去其他正常主機上下載命令原始檔至感染主機上
2使用busybox工具替代系統的命令:
存在守護程式監視操作行為,發現敏感操作挖礦程式自動停止
多試幾次top命令,因為卡頓等原因有時會看到未來得及退出的程式,很實用。
預載入so檔案,隱藏程式
請參考往期公眾號文章,https://mp.weixin.qq.com/s/Vu568MO03nHYgYznsLkC3w
刪除檔案和程式後,過段時間再次出現?
病毒採用了持久化的防護,要仔細檢查啟動項,計劃任務,守護程式
1.檢視計劃任務,命令:cat /etc/crontab。計劃任務檔案有很多,不要看漏。
/etc/crontab;/var/spool/cron;/etc/anacrontab;
/etc/cron.d/;/etc/cron.daily/;/etc/cron.hourly/;
/etc/cron.weekly/;/etc/cron.monthly/;/var/spool/cron/
2.檢視啟動項
CentOS7以下版本:chkconfig –list;
CentOS7及以上版本:systemctl list-unit-files;
關閉啟動項
CentOS7以下版本:chkconfig 服務名 off;
CentOS7及以上版本:systemctl disable 服務名;
啟動項檔案有很多,不要看漏。
/usr/lib/systemd/system;/usr/lib/systemd/system/multi-user.target.wants
/etc/rc.local;/etc/inittab;/etc/rc[0-6].d/;/etc/rc.d/