linux挖礦處置

ZT不高興發表於2022-12-22

Linux

挖礦的型別

主動挖礦：使用者在個人電腦或伺服器使用挖礦程式進行CPU，GPU計算，獲取虛擬貨幣。
被動挖礦：挖礦病毒透過系統漏洞，惡意程式，弱口令等方式入侵伺服器，裝置感染挖礦病毒後會開始挖掘虛擬貨幣。
前端挖礦：JS挖礦，挖礦病毒嵌入到網頁的javascript中，使用者訪問網頁時瀏覽器執行挖礦命令，現在比較少。不穩定，使用者關閉瀏覽器挖礦程式可能就停止執行了。

常見挖礦事件的行為

訪問惡意域名
CPU GPU佔用率高
埠掃描行為

挖礦的排查思路

總體思路就是：隔離被感染主機程式確認和系統排查清除挖礦木馬加固與防範

一：初步判斷：是否遭受挖礦攻擊，攻擊時間，傳播範圍，網路環境等。

二：異常程式與檔案：隔離被感染的主機後，就要確定挖礦的惡意程式及其關聯的惡意樣本，以便後續進行清楚工作。

三：系統排查：挖礦木馬會建立惡意的程式連線礦池，利用計算機CPU，GPU資源來挖礦。同時會利用系統的功能來實現持久化，例如建立使用者，計劃任務，啟動項，登錄檔等。

四：日誌排查：登入日誌，伺服器日誌，安全裝置日誌，做一下根因分析，避免加固後再次出現同類問題。

具體的排查操作

異常程式與檔案

使用top 命令檢視佔用CPU最高的程式

　2.ps命令也可以定位高CPU佔用的程式。

　　ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5 cpu佔用前5的資訊

網路連線排查 netstart

netstart -anltp 檢視到可疑ip可以到威脅情報上去確認是否為礦池域名或惡意地址

檢視可疑的程式檔案

經過上面排查，基本獲取到程式的pid,可以依據pid去查詢相關惡意檔案

lsof -p pid

ls -al /proc/[pid]/exe 定位程式的實際路徑

結束程式清除檔案

kill -9 pid

rm 刪除可疑的程式檔案

rm -rf 檔案路徑

有些時候無法透過上述排查定位pid,可能是將/proc/pid進行了隱藏，可以透過以下方式隱藏

mkdir .hidden

mount -o bind .hidden /proc/pid

這種情況可以使用 cat /proc/$$/mountinfo

惡意程式為了持久化駐留，還會建立計劃任務，啟動項，使用者賬號等

計劃任務排查

1.使用計劃任務命令查詢 crontab -u root -l 檢視root使用者計劃任務

2.檢視/etc下計劃任務檔案

ls /etc/cron* 檢視/etc目錄下所有計劃任務檔案

常見的定時任務檔案

/var/spool/cron/* #centos的

/var/spool/cron/crontabs/* #ubantu的

/etc/anacrontab* 非同步定時

/etc/cron.hourly/*

/etc/cron.daily/*

/etc/cron.weekly/*

/etc/cron.monthly/*

啟動項排查

chkconfig 檢視開機啟動專案

cat /etc/init.d/rc.loacal 檢視init.d資料夾下的rc.local檔案內容

cat /etc/rc.local 檢視rc.local檔案內容

ls -alt /etc/init.d 檢視init.d資料夾下所有檔案的詳細資訊

不同的linux發行版檢視開機啟動項的檔案不大相同，Debian系linux一般檢視/etc/init.d目錄最近有無修改和異常的開機啟動項；Redhat系一般檢視/etc/rc.d/init.d或者/etc/syetemd/syetem等目錄。

可疑賬號排查

查詢可登入賬號： cat /etc/passwd | grep -E "/bin/bash$" | awk -F: '{print $1}'

查詢超級使用者： awk -F: '$3==0 {print $1}' /etc/passwd

查詢公鑰檔案

　　cat /root/.ssh/*.pub

　　cat /root/.ssh/authorized_keys

日誌排查

登入成功 more /var/log/secure* | grep "Accepted password"

登入失敗 more /var/log/secure* | grep "Failed password"

空口令登入 more /var/log/secure* | grep "Accepted none"

新增使用者 more /var/log/secure* | grep "new user"

歷史命令 history cat /root/.bash_history

系統日誌排查無果的話，可以排查其他服務的日誌，如web 中介軟體等

Linux的庫檔案劫持

　　排查時命令如果無法正常顯示效果，可能是檔案被劫持或做了替換，這種情況可以使用busybox來檢視

比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理
2018-05-17
比特幣GPU
遇上DG挖礦病毒的處理記錄
2018-08-27
比特幣挖礦熱潮：賣裝置可能比“礦工”更賺錢
2013-11-19
比特幣
EPK怎麼挖礦？EPK挖礦教程詳情
2021-08-19
支援雙系統挖礦，警惕新型挖礦病毒入侵
2021-07-23
GMO Internet加密挖礦裝置即將啟動執行
2017-12-22
加密
IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情
2023-05-07
APP
IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析
2023-05-08
元件
比特幣如何挖礦（挖礦原理）-工作量證明
2017-11-06
比特幣
IPFS/Filecoin挖礦流程
2021-08-10
門羅挖礦JS
2018-05-14
JS
DeFi 質押挖礦系統丨DeFi 質押挖礦系統
2020-12-03
Avive World算力挖礦系統開發|中本聰模式挖礦案例
2023-05-12
模式
Linux挖礦木馬的技術演進探討
2021-07-28
Linux
IPFS挖礦開發解決方案及IPFS礦機挖礦原理及最優規劃
2019-12-23
騰訊安全：新型挖礦木馬“快Go礦工”猛攻企業裝置 IT行業成重災區
2019-10-17
Go行業
利用WMI命令入侵挖礦，新型挖礦病毒Audliodg持續活躍中
2021-09-04
區塊鏈挖礦演變史，一鍵挖礦逐漸成主流
2018-08-23
區塊鏈
Avive世界挖礦（vv）系統搭建開發|中本聰挖礦模式開發
2023-05-11
模式
go-ethereum原始碼解析-miner挖礦部分原始碼分析CPU挖礦
2018-05-26
Go原始碼
以太坊原始碼分析(42）miner挖礦部分原始碼分析CPU挖礦
2018-05-14
原始碼
樹莓派上使用螞蟻礦機挖礦
2014-06-06
樹莓派
分享一次伺服器被挖礦的處理方法
2019-12-10
伺服器
Filecoin: 挖礦流程掃盲
2020-09-27
快速定位挖礦木馬！
2022-03-07
那個用你CPU挖礦的COINHIVE線上挖礦平臺要倒閉了
2019-03-01
Hive
區塊鏈挖礦APP開發數字資產挖礦系統開發
2018-11-12
區塊鏈APP
IPP算力挖礦系統開發技術|IPP挖礦模式開發
2023-05-09
模式
MDEX挖礦系統開發/MDEX流動性挖礦系統開發
2023-05-05
IPP算力挖礦|IPPSWAP質押挖礦系統開發詳情
2023-05-08
IPP質押挖礦系統開發|IPPSWAP挖礦開發系統
2023-05-08
Linux殭屍程式處置
2020-10-22
Linux
ULAB質押挖礦系統技術開發丨Defi質押挖礦dapp丨質押挖礦分紅詳情
2023-04-14
APP
伺服器被挖礦木馬攻擊該怎麼處理
2019-02-12
伺服器
挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程
2023-02-21
dev
IPP算力質押挖礦系統開發|IPP算力挖礦開發
2023-05-19
IPPSWAP孵化器挖礦系統開發|IPP算力挖礦開發
2023-05-08
Check Point：針對iOS裝置的加密貨幣挖礦攻擊上升近400%
2018-10-16
iOS加密