场景
受公司委托对客户服务器挖矿木马进行应急处置,客户说服务器很卡让我们排查处置一下,okok,直接远程开搞开搞,所有可疑文件先下载留存,再删除。
排查分析
使用top命令查看CPU使用率时发现,进程warmup CPU使用率过高,如图所示,该进程高度可疑。即使是kill 掉该进程也无济于事,后面又会自动跑起来。
使用ps命令查看进程时发现可疑进程/root/.warmup/warmup,如图所示。
通过命令chkconfig排查开机启动项,如图找到warmup文件
通过find / -name "*warmup*"命令排查启动项时发现存在10个可疑启动项,/etc/rc.d/init.d/warmup、/etc/rc.d/rc0.d/K15warmup、/etc/rc.d/rc1.d/K15warmup、/etc/rc.d/rc2.d/S85warmup、/etc/rc.d/rc3.d/S85warmup、/etc/rc.d/rc4.d/S85warmup、/etc/rc.d/rc5.d/S85warmup、/etc/rc.d/rc6.d/K15warmup、/etc/alternatives/.warmup、/root/.warmup,部分可疑启动项如图所示。
通过crontab -l排查计划任务时发现没有计划任务,这肯定隐藏着计划任务,客户说已经杀死进程,但还会一直自动生成启动。那就上cron.weekly、cron.hourly、cron.monthly看看吧,果然在cron.hourly发现了异常。如图
在somescript中查看有多个位置有关联文件,如图
那就继续排查找到关联位置相关文件,找到etc/alternatives/.warmup中的恶意文件,如图
对提取的文件cpnfig.json进行威胁检测分析,经分析,该文件为挖矿木马文件(coinMiner木马),如图
使用cat命令查看config.json文件内容,发现该文件url中地址为矿池地址,情报分析如图。
邮件排查,使用ls -l命令列出/var/spool/mail下的可疑文件并查看,对涉及到的IP进行威胁情报分析,经分析,涉及IP均为矿池地址,如图。
上述只要找到和warmup关联的文件都下载下来留存,方便后续溯源。
应急处置
1、结束进程,kill -进程id;
2、删除所有关联恶意启动项;
3、删除所有关联恶意服务项;
4、删除所有关联恶意计划任务;
5、全盘查杀木马,并重启服务器。
其他排查路径
其他可能存在定时任务需要排查的路径
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/anacrontab
/etc/cron.*
/etc/anacrontab
/etc/rc.d/init.d/
防范措施
1.安装杀毒软件
安装杀毒软件,更新病毒库,进行全盘杀毒。
2.避免弱密码
避免使用弱密码,避免多个系统使用同一密码,登录口令要有足够的长度和复杂性,并定期更换登录口令。
3.关闭应用服务
关闭Windows共享服务、远程桌面控制等不必要的服务。
4.应用安装
不要安装不认识的、具有风险的应用;安装应用尽量到正规应用商店下载。
5.提高网络安全意识
不使用不明来历的U盘、移动硬盘等存储设备;
不要点击来源不明的邮件以及附件;
不要下载来源不明的破解软件;
不接入公共网络也不允许内部网络接入来历不明外网设备。
————————————————
版权声明:本文为CSDN博主「beichenyyds」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/beichenyyds/article/details/126866876
原文始发于微信公众号(利刃信安):记一次linux挖矿木马WarmUp的处置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论