记一次挖矿病毒应急

admin 2025年6月10日18:45:20评论26 views字数 763阅读2分32秒阅读模式

记一次去年6月份对某客户做的一次挖矿应急,事件起因是客户接到电信托管机房短信息,通知检测到客户服务器有对外发送攻击流量的行为,被攻击服务器在公网开放了22端口,做远程测试用。

检测过程

第一步,系统分析:

对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况,发现/root/.bash_history内历史记录已经被清除,其他无异常。

第二步,进程分析:

对当前活动进程、网络连接、启动项、计划任务等进行排查,发现以下问题:

1)异常网络连接

通过查看系统网络连接情况,发现存在木马后门程序te18网络外联。

记一次挖矿病毒应急

在线查杀该文件为Linux后门程序

记一次挖矿病毒应急

2)异常定时任务

通过查看crontab 定时任务,发现存在异常定时任务。

记一次挖矿病毒应急

分析该定时任务运行文件及启动参数

记一次挖矿病毒应急

在线查杀相关文件为挖矿程序

记一次挖矿病毒应急

查看矿池配置文件

记一次挖矿病毒应急

第三步,文件分析:

在/root目录发现黑客植入的恶意代码和相关操作文件。

记一次挖矿病毒应急

黑客创建隐藏文件夹/root/.s/,用于存放挖矿相关程序。

记一次挖矿病毒应急

第四步,排查一下rootkit:

记一次挖矿病毒应急

第五步,日志分析:

记一次挖矿病毒应急

通过以上的分析,可以判断出黑客通过SSH爆破的方式,爆破出root用户密码,并登陆系统进行挖矿程序和木马后门的植入。

初步处理

后续对矿池IP进行封禁操作,并删除服务器上的恶意文件和定时任务,断开服务器与矿池的连接,抑制事件进一步恶化,释放挖矿病毒占用的CPU资源,恢复服务器的正常运行。

事件根除

1、优化自身服务器配置(更改弱口令),并设定规则,每月强制更改口令;

2、在出口防火墙添加策略,关闭测试服务器互联网访问权限,因测试服务器不需要对互联网提供服务,因此关闭互联网权限,只在内网访问,可以最大程度保证服务器安全;

3、 重启服务器以恢复正常运行;

4、 对服务器的一些配置进行优化,以应对以后可能出现的类似情况;

原文始发于微信公众号(纵横安全圈):记一次挖矿病毒应急

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日18:45:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次挖矿病毒应急https://cn-sec.com/archives/883840.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息