一次minerd肉雞木馬的排查思路

京東雲發表於2022-08-19

前言

在日常使用Linux系統伺服器時,如果系統安全維護方面做的不夠規範和嚴謹,很容易導致主機被駭客植入惡意木馬病毒被當做肉雞。以後就是一次肉雞木馬病毒的排查過程,有助於運維伺服器時遇到此情況時進行針對性的排查和修復。


【問題現象】

Linux主機CPU跑滿,或者使用伺服器越來越慢,以及收到報警資訊提示伺服器有對外惡意掃描。

 

【問題原因】

這種狀況在出現時透過top命令可以看到有一個minerd程式佔用CPU較高。


經定位,該程式是一個挖礦程式,透過上述截圖可以看到程式對應的PID為1170,根據程式ID查詢一下產生程式的程式路徑

 

執行ll /proc/$PID/exe,其中$PID為查詢到的程式ID

異常程式在/opt目錄下

此程式一般是由計劃任務產生的,Linux系統中預設建立了計劃任務後會在/var/spool/cron目錄下建立對應使用者的計劃任務指令碼,執行ls /var/spool/cron 查詢一下系統中是否有異常的計劃任務指令碼程式。

可以看到,在此目錄下有1個root的計劃任務指令碼和一個異常的目錄crontabs(預設情況下不會有此目錄,使用者建立計劃任務也不會產生此目錄)

檢視指令碼內容,有一個每隔10分鐘便會透過curl下載執行的指令碼程式(crontabs目錄下為同樣內容的計劃任務)

手動將指令碼內容下載到本地,指令碼內容如下:


分析此指令碼,主要進行了如下修改:

1、建立了上述檢視到的兩個計劃任務指令碼

2、建立了金鑰認證檔案,匯入到了/root/.ssh目錄下(當前指令碼的金鑰檔名是KHK75NEOiq,此名稱可能會有所變化,要根據具體情況進行核實)

3、修改ssh配置檔案允許了root遠端登入,允許了金鑰認證,修改預設的金鑰認證檔名

4、重啟了sshd服務使配置生效

5、建立了偽裝程式ntp,並執行了ntp程式

6、查詢系統中是否有正常執行的計劃任務,殺死正在執行的計劃任務程式。



【處理方法】

根據以上分析,提供以下處理方法:

1、刪除計劃任務指令碼中異常配置項,如果當前系統之前並未配置過計劃任務,可以直接執行rm -rf /var/spool/cron/* 情況計劃指令碼目錄即可。

2、刪除駭客建立的金鑰認證檔案,如果當前系統之前並未配置過金鑰認證,可以直接執行rm -rf /root/.ssh/* 清空認證存放目錄即可。如果有配置過金鑰認證,需要刪除指定的駭客建立的認證檔案即可,當前指令碼的金鑰檔名是KHK75NEOiq,此名稱可能會有所變化,要根據具體情況進行核實。

3、修復ssh配置項,根據個人需求進行修改,一般預設指令碼中進行修改的PermitRootLogin、RSAAuthentication、PubkeyAuthentication為開啟狀態,需要修改的是金鑰認證檔名,建議修改成預設值AuthorizedKeysFile     .ssh/authorized_keys即可。修改完成後重啟sshd服務,使配置生效即可。

4、刪除駭客建立的偽裝程式ntp

執行ls /etc/init.d/可以看到系統中是由對應的偽裝程式的


透過chkconfig --list  ntp 可以看到此程式預設設定的是開機自動啟動。


如果此程式不進行清除,即使刪除了minerd程式並且殺死了對應的程式,過一會系統還會重新建立minerd程式,併產生新的程式

查詢一下當前系統中是否有ntp程式,可以看到ntp程式是透過/usr/sbin/ntp程式產生,因此需要把對應的執行程式也進行刪除。

總結一下刪除偽裝程式的操作步驟

kill -9 $PID 殺死查詢到的ntp程式

rm -rf /etc/init.d/ntp

rm -rf /usr/sbin/ntp (此路徑要根據具體的查詢資料確定,實際情況可能會有所變化)


5、根據之前的查詢minerd程式所在路徑為/opt,在執行的指令碼中同時也在/opt目錄下建立了一個KHK75NEOiq33的程式檔案,因此要刪除這兩個檔案,執行rm -rf KHK75NEOiq33 minerd 即可。


6、使用kill命令殺死minerd程式

透過ps命令查詢一下minerd對應的程式詳細情況。

kill -9 $PID 殺死對應的程式ID

備註:根據ps查詢結果顯示minerd有向域名xmr.crypto-pool.fr進行資料通訊,透過ping測試域名解析核實此域名對應的IP地址,然後在ip.taobao.com進行查詢顯示IP為法國的IP,然後透過iftop -i eth1 -PB命令對流量進行了監控,確實存在向法國的IP傳送資料的情況,為了避免再次被入侵,可以透過iptables遮蔽對應的異常IP(具體的IP和域名要根據實際查詢的情況而定,可能會有所不同)。

以上修復完成後可以等待一會再次進行一下觀察,看看是否還會在/opt目錄下建立新的minerd程式,以及是否還有新的minerd程式產生。

 

最後,建議平時增強伺服器的安全維護,最佳化程式碼,以避免因程式漏洞等導致伺服器被入侵。


相關文章