一次minerd肉雞木馬的排查思路
前言
在日常使用Linux系統伺服器時,如果系統安全維護方面做的不夠規範和嚴謹,很容易導致主機被駭客植入惡意木馬病毒被當做肉雞。以後就是一次肉雞木馬病毒的排查過程,有助於運維伺服器時遇到此情況時進行針對性的排查和修復。
【問題現象】
Linux主機CPU跑滿,或者使用伺服器越來越慢,以及收到報警資訊提示伺服器有對外惡意掃描。
【問題原因】
這種狀況在出現時透過top命令可以看到有一個minerd程式佔用CPU較高。
經定位,該程式是一個挖礦程式,透過上述截圖可以看到程式對應的PID為1170,根據程式ID查詢一下產生程式的程式路徑
執行ll /proc/$PID/exe,其中$PID為查詢到的程式ID
異常程式在/opt目錄下
此程式一般是由計劃任務產生的,Linux系統中預設建立了計劃任務後會在/var/spool/cron目錄下建立對應使用者的計劃任務指令碼,執行ls /var/spool/cron 查詢一下系統中是否有異常的計劃任務指令碼程式。
可以看到,在此目錄下有1個root的計劃任務指令碼和一個異常的目錄crontabs(預設情況下不會有此目錄,使用者建立計劃任務也不會產生此目錄)
檢視指令碼內容,有一個每隔10分鐘便會透過curl下載執行的指令碼程式(crontabs目錄下為同樣內容的計劃任務)
手動將指令碼內容下載到本地,指令碼內容如下:
分析此指令碼,主要進行了如下修改:
1、建立了上述檢視到的兩個計劃任務指令碼
2、建立了金鑰認證檔案,匯入到了/root/.ssh目錄下(當前指令碼的金鑰檔名是KHK75NEOiq,此名稱可能會有所變化,要根據具體情況進行核實)
3、修改ssh配置檔案允許了root遠端登入,允許了金鑰認證,修改預設的金鑰認證檔名
4、重啟了sshd服務使配置生效
5、建立了偽裝程式ntp,並執行了ntp程式
6、查詢系統中是否有正常執行的計劃任務,殺死正在執行的計劃任務程式。
【處理方法】
根據以上分析,提供以下處理方法:
1、刪除計劃任務指令碼中異常配置項,如果當前系統之前並未配置過計劃任務,可以直接執行rm -rf /var/spool/cron/* 情況計劃指令碼目錄即可。
2、刪除駭客建立的金鑰認證檔案,如果當前系統之前並未配置過金鑰認證,可以直接執行rm -rf /root/.ssh/* 清空認證存放目錄即可。如果有配置過金鑰認證,需要刪除指定的駭客建立的認證檔案即可,當前指令碼的金鑰檔名是KHK75NEOiq,此名稱可能會有所變化,要根據具體情況進行核實。
3、修復ssh配置項,根據個人需求進行修改,一般預設指令碼中進行修改的PermitRootLogin、RSAAuthentication、PubkeyAuthentication為開啟狀態,需要修改的是金鑰認證檔名,建議修改成預設值AuthorizedKeysFile .ssh/authorized_keys即可。修改完成後重啟sshd服務,使配置生效即可。
4、刪除駭客建立的偽裝程式ntp
執行ls /etc/init.d/可以看到系統中是由對應的偽裝程式的
透過chkconfig --list ntp 可以看到此程式預設設定的是開機自動啟動。
如果此程式不進行清除,即使刪除了minerd程式並且殺死了對應的程式,過一會系統還會重新建立minerd程式,併產生新的程式
查詢一下當前系統中是否有ntp程式,可以看到ntp程式是透過/usr/sbin/ntp程式產生,因此需要把對應的執行程式也進行刪除。
總結一下刪除偽裝程式的操作步驟
kill -9 $PID 殺死查詢到的ntp程式
rm -rf /etc/init.d/ntp
rm -rf /usr/sbin/ntp (此路徑要根據具體的查詢資料確定,實際情況可能會有所變化)
5、根據之前的查詢minerd程式所在路徑為/opt,在執行的指令碼中同時也在/opt目錄下建立了一個KHK75NEOiq33的程式檔案,因此要刪除這兩個檔案,執行rm -rf KHK75NEOiq33 minerd 即可。
6、使用kill命令殺死minerd程式
透過ps命令查詢一下minerd對應的程式詳細情況。
kill -9 $PID 殺死對應的程式ID
備註:根據ps查詢結果顯示minerd有向域名xmr.crypto-pool.fr進行資料通訊,透過ping測試域名解析核實此域名對應的IP地址,然後在ip.taobao.com進行查詢顯示IP為法國的IP,然後透過iftop -i eth1 -PB命令對流量進行了監控,確實存在向法國的IP傳送資料的情況,為了避免再次被入侵,可以透過iptables遮蔽對應的異常IP(具體的IP和域名要根據實際查詢的情況而定,可能會有所不同)。
以上修復完成後可以等待一會再次進行一下觀察,看看是否還會在/opt目錄下建立新的minerd程式,以及是否還有新的minerd程式產生。
最後,建議平時增強伺服器的安全維護,最佳化程式碼,以避免因程式漏洞等導致伺服器被入侵。
相關文章
- 檔案關聯型木馬的程式設計思路 (轉)程式設計
- 記錄一次木馬排查
- 病毒木馬釣魚網站肉雞等技術的正向利用網站
- 漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
- 一個不坐旋轉木馬的朋友
- 區別木馬與病毒,以及識別與防治木馬的方法
- 一個支付寶木馬的分析溯源之旅
- 如何修復被掛木馬的php網站PHP網站
- SQL Server是否有特洛伊木馬的測試SQLServer
- 網路駭客欺騙執行木馬的方法!(轉)
- Linux挖礦木馬的技術演進探討Linux
- WireShark駭客發現之旅—肉雞郵件伺服器伺服器
- 程式設計師的最高境界:呆若木雞程式設計師
- 寫木馬的經典,dll插入系統程式的原始碼(轉)原始碼
- 西班牙打掉一黑客集團曾千萬臺肉雞黑客
- 再也不做“肉雞”管理員,幹好這5項工作
- SQL慢查詢排查思路SQL
- 資料問題排查思路
- JAVA死鎖排查-效能測試問題排查思路Java
- 【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼Go遊戲
- 高危病毒“黑窩”現身網路 中毒者成“肉雞”
- 伺服器問題 排查思路伺服器
- 實際操作:網站木馬後面排查網站
- 域名解析不生效的排查思路
- “會說話的鍵盤”:一個惡意推廣木馬的詳細分析
- 記一次記憶體溢位問題的排查、分析過程及解決思路記憶體溢位
- 一次野事務排查
- Spring4Shell漏洞已經被用來做肉雞 - bleepingcomputerSpringGC
- Java微服務隨機掉線排查思路Java微服務隨機
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 記一次oom問題排查OOM
- 記錄一次問題排查
- chrome佔用高cpu的原因 排查大致思路Chrome
- 用疫情防控思路解決挖礦木馬風險
- 金山釋出3月安全報告肉雞網銀掛馬成安全成焦點
- 網銀安全恐慌“後遺症”凸顯肉雞檢測器下載量近百萬
- 美國物聯網肉雞再升級:每秒400Gb流量,可攻陷任何網站網站
- 記一次 Laravel MethodNotAllowedHttpException 問題排查LaravelHTTPException