收不到推送的小伙伴,记得星标公众号哦!
上周帮客户处理清除挖矿木马,特此记录。
木马脚本地址 :
http:
/
/5.133.65.53/soft
/linux/somescript
之前hw有过类似案例,建议全面封禁该C段:5.133.65.1/24,并排查对应linux服务器是否有外连,尤其政务外网,各省需要注意。
pdf, docx, html, md版本手册获取后台回复warmup
warmup挖矿排查处置手册一、排查要点及注意事项二、排查流程1. 是否存在挖矿程序2. 是否存在挖矿进程3. 是否有外连 IP 及对应程序4. 是否挖矿程序占用大量 CPU 或内存5. 是否存在挖矿计划任务命令6. 是否存在开机启动项三、处置流程1. 执行脚本2. 检查进程四、特殊情况
本次排查处理仅适用于 linux 系统。
一、排查要点及注意事项
针对挖矿木马排查,主要针对的是进程信息,网络连接,CPU 及内存占用,文件,计划任务,开机自启动。
挖矿关键字:xrmig,warmup,ximetd(端口监听程序),nc(端口监听,黑客工具)。
小贴士:
对应更细节命令可查看 linux 命令大全:https://www.linuxcool.com/
查询可疑恶意 IP 或链接(仅限互联网):https://x.threatbook.com/
二、排查流程
1. 是否存在挖矿程序
查看是否有挖矿脚本程序,如果有输出则说明挖矿程序被植入。
查看磁盘是否有 warmup 该程序,如果有输出则说明挖矿程序被植入。
2. 是否存在挖矿进程
查看所有进程信息,若存在关键字信息说明存在挖矿
3. 是否有外连 IP 及对应程序
发现如下命令如有外连 IP 5.133.65.53
及其 c 段地址,则说明挖矿程序正在运行。
4. 是否挖矿程序占用大量 CPU 或内存
如果存在挖矿程序,CPU 或内存中会占比较大,本次 warmup 占用内存 50% 左右
5. 是否存在挖矿计划任务命令
如果存在计划任务,将带恶意挖矿命令及运行挖框脚本的计划任务进行删除。
查看当前用户的已有计划任务列表:
编辑管理计划任务,可进行删除修改
6. 是否存在开机启动项
如果存在 ximetd 有 on 选项,需要将其关闭,设置为off
三、处置流程
1. 执行脚本
执行前如有需要分析可将样本保存再执行命令
创建脚本文件
打开并写入脚本
脚本一(存在 systemctl 命令):
脚本二(不存在 systemctl 命令):
给文件执行权限并执行
2. 检查进程
重复排查所执行的命令确保无异常即可。
四、特殊情况
如果存在 nc 进程及外连可进行如下操作:
关闭所有连带 nc 的进程
找到 nc 并删除
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论