Linux挖矿病毒应急响应练习

01 前言

主机被植入挖矿病毒，可使得主机长时间执行高性能计算，浪费网络带宽，CPU和内存占用较高，不能及时处理用户的正常请求或任务。同时，增加电力消耗，加快电脑CPU、内存等硬件老化速度

02 挖矿病毒应急响应

*环境搭建：本次实验环境如下。下载对应版本在主机上安装即可进行实验

https://github.com/skypool-org/xmrig-skypool/releases

*故事背景：某天上午，IT部门反馈内部服务器疑似被攻击，攻击特征为服务器cpu利用率非常高，几乎占满，服务器很卡，怀疑被挖矿开始跟踪分析。

在应急响应前，我们先进行断网操作。

我们使用top命令查看主机的运行状态

可用看到，一个名为“xmrig-notls”的进程占用率非常高，pid为18444

查看进程详细信息

ps -ef | grep 18444

查看进程在哪个目录

ll /proc/pid

进入进程目录，查看配置信息

cat config.json

在配置信息中，发现一个网站

通过微步等威胁情报平台，发现该网址为一个挖矿网址，确认该程序为挖矿程序

查看主机的连接情况

netstat -antp

使用微步查询该IP，发现该IP地址可以判断为该挖矿病毒主动外联的矿池IP

03 应急处置

杀死未授权进程：

kill -9 pid

删除对应文件

rm -rf 文件名

及时隔离主机，阻断可以通信。防止受害主机对局域网下的其他主机先进性横向渗透

清除计划任务。大部分病毒或后门文件都会写入到计划任务中实现持久运行

crontal l    #查看计划任务的目录

清除启动项

除了计划任务，挖矿木马通过添加启动项同样能实现持久化

systemctl list-unit-files 查看自启动列表

过滤出所有的开机启动的项目

systemctl list-unit-files |grep enabled

关闭服务

 systemctl disable 服务名

04 后续操作

原文始发于微信公众号（GSDK安全团队）：Linux挖矿病毒应急响应练习