01 前言
主机被植入挖矿病毒,可使得主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务。同时,增加电力消耗,加快电脑CPU、内存等硬件老化速度
02 挖矿病毒应急响应
*环境搭建:本次实验环境如下。下载对应版本在主机上安装即可进行实验
https://github.com/skypool-org/xmrig-skypool/releases
*故事背景:某天上午,IT部门反馈内部服务器疑似被攻击,攻击特征为服务器cpu利用率非常高,几乎占满,服务器很卡,怀疑被挖矿开始跟踪分析。
在应急响应前,我们先进行断网操作。
我们使用top命令查看主机的运行状态
可用看到,一个名为“xmrig-notls”的进程占用率非常高,pid为18444
查看进程详细信息
ps -ef | grep 18444
查看进程在哪个目录
ll /proc/pid
进入进程目录,查看配置信息
cat config.json
在配置信息中,发现一个网站
通过微步等威胁情报平台,发现该网址为一个挖矿网址,确认该程序为挖矿程序
查看主机的连接情况
netstat -antp
使用微步查询该IP,发现该IP地址可以判断为该挖矿病毒主动外联的矿池IP
03 应急处置
杀死未授权进程:
kill -9 pid删除对应文件
rm -rf 文件名及时隔离主机,阻断可以通信。防止受害主机对局域网下的其他主机先进性横向渗透
清除计划任务。大部分病毒或后门文件都会写入到计划任务中实现持久运行
crontal l #查看计划任务的目录
清除启动项
除了计划任务,挖矿木马通过添加启动项同样能实现持久化
systemctl list-unit-files 查看自启动列表过滤出所有的开机启动的项目
systemctl list-unit-files |grep enabled关闭服务
systemctl disable 服务名
04 后续操作
3、及时更新 Windows安全补丁,开启防火墙临时关闭端口;
4、及时更新web漏洞补丁,升级web组件
原文始发于微信公众号(GSDK安全团队):Linux挖矿病毒应急响应练习
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论