warmup挖矿木马处置手册

admin
admin
admin
102755
文章
87
评论
2023年8月21日10:45:16warmup挖矿木马处置手册已关闭评论80 views字数 2106阅读7分1秒阅读模式

收不到推送的小伙伴,记得星标公众号哦!

图片

上周帮客户处理清除挖矿木马,特此记录。

木马脚本地址 :

http://5.133.65.53/soft/linux/somescript

之前hw有过类似案例,建议全面封禁该C段:5.133.65.1/24,并排查对应linux服务器是否有外连,尤其政务外网,各省需要注意。

pdf, docx, html, md版本手册获取后台回复warmup

warmup挖矿排查处置手册一、排查要点及注意事项二、排查流程1. 是否存在挖矿程序2. 是否存在挖矿进程3. 是否有外连 IP 及对应程序4. 是否挖矿程序占用大量 CPU 或内存5. 是否存在挖矿计划任务命令6. 是否存在开机启动项三、处置流程1. 执行脚本2. 检查进程四、特殊情况

本次排查处理仅适用于 linux 系统。

一、排查要点及注意事项

针对挖矿木马排查,主要针对的是进程信息,网络连接,CPU 及内存占用,文件,计划任务,开机自启动。

挖矿关键字:xrmig,warmup,ximetd(端口监听程序),nc(端口监听,黑客工具)。

小贴士:

对应更细节命令可查看 linux 命令大全:https://www.linuxcool.com/

查询可疑恶意 IP 或链接(仅限互联网):https://x.threatbook.com/

二、排查流程

1. 是否存在挖矿程序

查看是否有挖矿脚本程序,如果有输出则说明挖矿程序被植入。



find / -type f -name "somescript"


查看磁盘是否有 warmup 该程序,如果有输出则说明挖矿程序被植入。




find / -name warmup




2. 是否存在挖矿进程


查看所有进程信息,若存在关键字信息说明存在挖矿




ps -ef 




3. 是否有外连 IP 及对应程序


发现如下命令如有外连 IP 5.133.65.53及其 c 段地址,则说明挖矿程序正在运行。




netstat -tnap 




4. 是否挖矿程序占用大量 CPU 或内存


如果存在挖矿程序,CPU 或内存中会占比较大,本次 warmup 占用内存 50% 左右




top


5. 是否存在挖矿计划任务命令


如果存在计划任务,将带恶意挖矿命令及运行挖框脚本的计划任务进行删除。


查看当前用户的已有计划任务列表:




crontab -l


编辑管理计划任务,可进行删除修改




crontab -e 





6. 是否存在开机启动项


如果存在 ximetd 有 on 选项,需要将其关闭,设置为off




chkconfig




三、处置流程




1. 执行脚本




执行前如有需要分析可将样本保存再执行命令




创建脚本文件




touch clean.sh


打开并写入脚本




vi clean.sh


脚本一(存在 systemctl 命令):




#!/bin/bash




# 停止warmup服务


systemctl stop warmup


systemctl disable warmup


systemctl daemon-reload


# 删除文件和目录


rm -rf /etc/alternatives/.warmup


rm -rf /etc/alternatives/.warmup/warmup


rm -rf /etc/systemd/system/warmup.service


rm -rf /root/.warmup


rm -rf /root/.warmup/warmup


# 删除文件和目录


rm -rf /etc/xtab/somescript


rm -rf /etc/cron.hourly/somescript


rm -rf /etc/cron.hourly/.somescript


rm -rf /etc/xtab


# 删除目录及其内容


rm -rf /etc/init.d/modules


rm -rf /etc/rc.d/init.d/modules


# 关闭xinetd


systemctl stop xinetd


systemctl disable xinetd




脚本二(不存在 systemctl 命令):




#!binbash




# 停止warmup服务


service warmup stop


chkconfig warmup off


# 删除文件和目录


rm -rf /etc/alternatives/.warmup


rm -rf /etc/alternatives/.warmup/warmup


rm -rf /etc/systemd/system/warmup.service


rm -rf /root/.warmup


rm -rf /root/.warmup/warmup


# 删除文件和目录


rm -rf /etc/xtab/somescript


rm -rf /etc/cron.hourly/somescript


rm -rf /etc/cron.hourly/.somescript


rm -rf /etc/xtab


# 删除目录及其内容


rm -rf /etc/init.d/modules


rm -rf /etc/rc.d/init.d/modules


# 关闭xinetd


service xinetd stop


chkconfig xinetd off




给文件执行权限并执行




chmod +x clean.sh

./clean.sh


2. 检查进程


重复排查所执行的命令确保无异常即可。


四、特殊情况


如果存在 nc 进程及外连可进行如下操作:


关闭所有连带 nc 的进程




pkill -f nc


找到 nc 并删除




find / -name nc


rm -rf nc的路径






 


 



    

  • 
左青龙

    • 

  • 微信扫一扫
    • 

  • 
weinxin

    • 



    

  • 
右白虎

    • 

  • 微信扫一扫
    • 

  • 
weinxin

    • 
























admin 
    

  • 本文由  发表于 2023年8月21日10:45:16
    • 

  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  
warmup挖矿木马处置手册http://cn-sec.com/archives/1966110.html

    •