关于挖矿,你需要知道的一切(2)
|
也可以使用ldd命令查看命令依赖库中是否有可疑动态库文件,如图,在将libprocesshider.so文件加入ld.so.preload文件中后,ldd 命令可看到top命令预先加载了可疑动态库。  确认已经加载恶意动态链接库后,直接移除恶意动态链接库文件或清除ld.so.preload中对该库文件的引用内容即可。 3、以上情况都可以直接通过静态编译的busybox进行排查。 查看挖矿进程所属用户 一般挖矿进程为自动化攻击脚本,所以很少有提权的过程,那么很大可能挖矿进程所属用户即为攻击进入系统的用户。后续的排查过程可根据此寻找攻击者的入侵途径。  top  ps -ef |grep pid 两种方式都可以看到,挖矿进程所属用户为 weblogic。 查看用户进程 确定已失陷用户后,可查询该用户所属其他进程,判断其他进程是否有已知漏洞(Weblogic反序列化、Struts2系列漏洞、Jenkins RCE)或弱口令(Redis未授权、Hadoop yarn未授权、SSH弱口令)等问题。  ps -ef|grep username 可以看到,weblogic用户下除了两个挖矿进程,还有一个weblogic应用的进程,所以这时候就应该判断该weblogic应用是否有已知的漏洞(比如WebLogic反序列化漏洞)。如果有的话,那么该挖矿进程很可能是利用了该漏洞进入主机。 确定原因 排查出挖矿木马后对木马类型进行分析,根据木马的传播特征和传播方式,初步判断本次入侵的原因。然后结合应用日志以及漏洞利用残留文件确定本次攻击是否利用了该漏洞。 比如,利用redis未授权访问漏洞后,一般会修改redis的dbfilename和dir的配置,并且使用redis写文件时,会在文件中残留redis和版本号标识,可以根据以上两个信息排查是否利用了redis。   清除挖矿木马 1、及时隔离主机 部分带有蠕虫功能的挖矿木马在取得本机的控制权后,会以本机为跳板机,对同一局域网内的其他主机进行已知漏洞的扫描和进一步利用,所以发现挖矿现象后,在不影响业务的前提下应该及时隔离受感染主机,然后进行下一步分析。 2、阻断与矿池通讯 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 3、清除定时任务 大部分挖矿进程会在受感染主机中写入定时任务完成程序的驻留,当安全人员只清除挖矿木马时,定时任务会再次从服务器下载挖矿进程或直接执行挖矿脚本,导致挖矿进程清除失败。 使用crontab -l 或 vim /var/spool/cron/root 查看是否有可疑定时任务,有的话直接删除,或停止crond进程。  还有/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab 等文件夹或文件中的内容也要关注。 4、清除启动项 还有的挖矿进程为了实现长期驻留,会向系统中添加启动项来确保系统重启后挖矿进程还能重新启动。所以在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,对其进行清除。 排查过程中重点应该关注:/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目录或文件下的内容。 5、清除公钥文件 在用户家目录的.ssh目录下放置authoruzed_keys文件,从而免密登陆该机器也是一种常见的保持服务器控制权的手段。在排查过程中应该查看该文件中是否有可疑公钥信息,有的话直接删除,避免攻击者再次免密登陆该主机。 [UserDIR]/.ssh/authorized_keys 6、kill挖矿进程 对于单进程挖矿程序,直接结束挖矿进程即可。但是对于大多数的挖矿进程,如果挖矿进程有守护进程,应先杀死守护进程再杀死挖矿进程,避免清除不彻底。 kill -9 pid 或 pkill ddg.3014 在实际的清除工作中,应找到本机上运行的挖矿脚本,根据脚本的执行流程确定木马的驻留方式,并按照顺序进行清除,避免清除不彻底。 浏览器挖矿不可不防 首先要做的是确定吞噬资源的过程。通常使用Windows Taskmanager或MacOs的Activity Monitor足以识别罪魁祸首。但是,该进程也可能与合法的Windows文件具有相同的名称,如下图所示。  如果该进程是浏览器时,更加难以找到罪魁祸首。  当然,可以粗暴地终止该进程,但精确找到究竟是浏览器中的哪一个站点占用了如此之多的CPU性能是一个更好的办法。比如,Chrome有一个内置工具,被称为Chrome任务管理器,通过单击主菜单中的“更多工具”并在其中选择“任务管理器”来启动它。  此任务管理器显示各个浏览器选项卡和扩展项的CPU使用情况,因此如果您的某个扩展程序包含一个挖矿者,则它也会显示在列表中。  青藤之道:如何预防、识别、处置十大挖矿木马 值得关注的是,在挖矿病毒的全球分布中,中国以超过50%的占比排在首位,政府、医疗、石油和天然气等网络安全相对薄弱的企事业单位成为优先的攻击目标,这充分说明中国挖矿病毒威胁的严峻性。 不过不用担心,青藤万相·主机自适应安全平台是预防、识别、处置挖矿木马最佳实践平台。  (编辑:ASP站长网) |
360重磅推出三大战略