Linux挖矿病毒应急响应练习

admin 2022年9月25日03:36:17应急响应评论40 views1054字阅读3分30秒阅读模式
Linux挖矿病毒应急响应练习

01 前言

虚拟货币“挖矿”是利用计算机的设备资源(如算力、网络带宽、硬盘存储等)去解决复杂数学运算的一个过程,从而产生基于区块链技术的去中心化虚拟货币的行为,产生的虚拟货币以比特币和以太坊为主,而虚拟货币可以通过交易市场进行买卖,从而获得大额金钱收益。

主机被植入挖矿病毒,可使得主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务。同时,增加电力消耗,加快电脑CPU、内存等硬件老化速度


Linux挖矿病毒应急响应练习

02 挖矿病毒应急响应

*环境搭建:本次实验环境如下。下载对应版本在主机上安装即可进行实验

https://github.com/skypool-org/xmrig-skypool/releases

*故事背景:某天上午,IT部门反馈内部服务器疑似被攻击,攻击特征为服务器cpu利用率非常高,几乎占满,服务器很卡,怀疑被挖矿开始跟踪分析。


在应急响应前,我们先进行断网操作

我们使用top命令查看主机的运行状态

Linux挖矿病毒应急响应练习


可用看到,一个名为“xmrig-notls”的进程占用率非常高,pid为18444

查看进程详细信息

ps -ef | grep 18444

Linux挖矿病毒应急响应练习


查看进程在哪个目录

ll /proc/pid

Linux挖矿病毒应急响应练习


进入进程目录,查看配置信息

cat config.json

Linux挖矿病毒应急响应练习


在配置信息中,发现一个网站

Linux挖矿病毒应急响应练习


通过微步等威胁情报平台,发现该网址为一个挖矿网址,确认该程序为挖矿程序

Linux挖矿病毒应急响应练习


查看主机的连接情况

netstat -antp

Linux挖矿病毒应急响应练习


使用微步查询该IP,发现该IP地址可以判断为该挖矿病毒主动外联的矿池IP

Linux挖矿病毒应急响应练习



Linux挖矿病毒应急响应练习

03 应急处置

杀死未授权进程:

kill -9 pid


删除对应文件

rm -rf 文件名


及时隔离主机,阻断可以通信。防止受害主机对局域网下的其他主机先进性横向渗透

清除计划任务。大部分病毒或后门文件都会写入到计划任务中实现持久运行

crontal l    #查看计划任务的目录

Linux挖矿病毒应急响应练习


清除启动项

除了计划任务,挖矿木马通过添加启动项同样能实现持久化

systemctl list-unit-files 查看自启动列表

过滤出所有的开机启动的项目

systemctl list-unit-files |grep enabled

关闭服务

 systemctl disable 服务名


Linux挖矿病毒应急响应练习

04 后续操作

1、根据相关日志寻找挖矿病毒是如何进入主机的,将漏洞进行修补
2、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护;

3、及时更新 Windows安全补丁,开启防火墙临时关闭端口;

4、及时更新web漏洞补丁,升级web组件



原文始发于微信公众号(GSDK安全团队):Linux挖矿病毒应急响应练习

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月25日03:36:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Linux挖矿病毒应急响应练习 https://cn-sec.com/archives/1308507.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: