針對挖礦病毒的簡易三板斧

星河Salaxy發表於2021-09-16

一. 簡介

本文只基礎說明遇到挖礦病毒的簡單快速的處理思路,現實生產中遇到的病毒複雜的多。當企業面對病毒攻擊的時候,一定要儘快交予專業安全人士處理,減少損失。



二. 實現過程(研究內容)

以linux系統為例,對中毒主機進行斷網隔離後,查詢挖礦病毒的基本操作:

1尋找程式,使用命令:Top

2刪除程式,使用命令:kill -i PID

3刪除檔案,使用命令:rm -rf

後續處理:溯源分析,修補漏洞,安全加固



三. 檢測方式(防禦建議)

挖礦病毒特徵:最大的特徵就是主機的cpu資源佔用,可以直接使用top命令檢視程式來發現可疑程式。一般情況下,cpu使用居高不下的就是挖礦程式了。

根據程式的pid找到程式的檔案路徑,然後刪除檔案,殺死程式


針對挖礦病毒的簡易三板斧

圖1:確認挖礦程式


刪除程式,命令:kill -9 PID

針對挖礦病毒的簡易三板斧

圖2:程式清除


尋找檔案,命令:ls -l /proc/PID/exe

刪除檔案,命令:rm -rf

針對挖礦病毒的簡易三板斧

圖3:尋找並刪除惡意檔案


如果你不確定檔案是否有毒,那可以將可疑檔案上傳到線上沙箱,如微步和virustotal。要是檔案已經沒了,你可以把程式dump下來再上傳。

針對挖礦病毒的簡易三板斧

圖4:線上沙箱結果

到這只是針對挖礦程式的基本處理,後續還要做這幾件事。

1檢查網路連線是否有C2通訊,檢視是否有其他非正常連線

重點關注防火牆iptables,命令:iptables -L -n


2檢查最近修改的檔案,避免遺漏,因為挖礦病毒,往往還攜帶者其他病毒或工具包

命令:find /etc -ctime -2 (命令解釋:指定目錄/etc,且近2天內的新增檔案)


3修補漏洞並加固系統

3.1你可以使用上述提到的沙箱確定病毒的家族,然後使用搜素引擎確認使用的漏洞, 並與自己的系統做比對

3.2透過病毒的行為確認漏洞。最常見的就是爆破各種服務的弱口令和未授權等。

列舉處理中會遇到的一些問題,推薦幾個小技巧



使用top命令時,未發現cpu佔用率高的程式?

1.系統命令被修改:

建議直接去其他正常主機上下載命令原始檔至感染主機上

2使用busybox工具替代系統的命令:

存在守護程式監視操作行為,發現敏感操作挖礦程式自動停止

多試幾次top命令,因為卡頓等原因有時會看到未來得及退出的程式,很實用。

預載入so檔案,隱藏程式


請參考往期公眾號文章,https://mp.weixin.qq.com/s/Vu568MO03nHYgYznsLkC3w



刪除檔案和程式後,過段時間再次出現?


病毒採用了持久化的防護,要仔細檢查啟動項,計劃任務,守護程式

1.檢視計劃任務,命令:cat /etc/crontab。計劃任務檔案有很多,不要看漏。

/etc/crontab;/var/spool/cron;/etc/anacrontab;

/etc/cron.d/;/etc/cron.daily/;/etc/cron.hourly/;

/etc/cron.weekly/;/etc/cron.monthly/;/var/spool/cron/

2.檢視啟動項

CentOS7以下版本:chkconfig –list;

CentOS7及以上版本:systemctl list-unit-files;

關閉啟動項

CentOS7以下版本:chkconfig 服務名 off;

CentOS7及以上版本:systemctl disable 服務名;

啟動項檔案有很多,不要看漏。

/usr/lib/systemd/system;/usr/lib/systemd/system/multi-user.target.wants

/etc/rc.local;/etc/inittab;/etc/rc[0-6].d/;/etc/rc.d/


相關文章