应急响应——Linux挖矿木马处置

2023-11-09 06:40

本文主要是介绍应急响应——Linux挖矿木马处置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、挖矿木马简介

  1. 挖矿是什么?

挖矿的最终目的其实是为了获取虚拟货币(常见为比特币、以太坊等)。在区块链网络中,用户可以以通过使用大量计算资源来计算出合法数值的方式来获取虚拟货币。因此,以获取虚拟货币为目的的挖矿行为由此产生。通常采用“矿工-矿池”的模式进行挖矿,矿池负责监听网络中的交易、打包区块等工作,矿工根据矿池下发的计算任务,消耗大量的设备计算资源来获取符合要求的shares返回给矿池,矿池会给予矿工一定的收益。

  1. 挖矿木马做什么的?

挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。

简单来说就是:用你的计算机算力来赚钱

二、挖矿木马的传播方式

  1. 漏洞:利用系统漏洞获取主机权限来植入挖矿程序
  2. 弱口令爆破:利用弱口令爆破获取系统权限来植入挖矿木马
  3. 僵尸网络: 通过入侵其他计算机植入挖矿木马,并通过继续入侵更多计算机,从而建立起庞大的傀儡计算机网络一起“挖矿"。
  4. 无文件攻击方法: 通过在PowerShell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地,会直接在PowerShell.exe进程中运行,这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码 。
  5. 网页挂马: 将挖矿木马植入网页之中,在用户浏览器打开该网页时,就会解析挖矿脚本,利用用户计算机资源进行挖矿从而获利
  6. 软件供应链攻击: 在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击 。比如黑客在一个你信任的软件的更新包中嵌入木马程序,在升级的过程中就变向下载了挖矿木马。
  7. 软件伪装:将木马伪装成正常的软件来欺骗用户下载。
  8. 内部人员私自安装:企业内部人员私自在主机中装入挖矿木马。

三、感染挖矿的主要特征

  1. 主机卡顿,cpu爆满,部分服务无法正常进行
  2. 挖矿木马程序通常需要与矿池进行通信,查看系统网络连接情况,是否与异常IP有通信
  3. 挖矿木马与矿池通信的常用协议(例如stratum协议)通常有其固定的指令规则,查看日志内容是否有该种通信协议的指令

四、挖矿木马的清除

  1. 隔离主机

部分带有蠕虫功能的“挖矿”木马在取得主机的控制权后,会继续对局域网内的其他主机进行横向渗透,所以在发现主机被植入挖矿木马后,在不影响业务正常运行的前提下,应该及时隔离受感染的主机,然后进行下一步分析和清除工作。

  1. 确定进程

当主机中有挖矿木马程序在执行时,木马进程通常会占用大量的CPU资源,隔离主机以后需要立马对进程进行排查,确定是否有异常进程存在。Linux系统可以通过top -c命令查看当前进程情况。

  1. 阻断通信

挖矿木马需要与矿池保持通信,因此,我们需要对主机中网络连接进行排查来判断是否有可疑的ip和端口。使用netstat -tunlpa 通过微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区查看该异常进程是否有非常规的外网连接。

  1. 任务排查
  • 大部分挖矿木马通常会在主机中设置定时任务,在预设时间进行挖矿操作,以此来避免在主机使用高峰期被主机拥有者发现。通过 `crontab -l` 产看是否有定时木马启动任务,如果有则使用crontab -r清除异常启动项;
  • 开启自动启动也是挖矿木马常用的启动方式,使用systemctl list-unit-files查看是否有异常启动项,如果有则使用 systemctl disable 启动项清除异常启动项;
  • 动态链接库也是挖矿木马的藏匿地点之一,使用cat /etc/ld.so.preload命令查看是否有异常的动态连接选项,如果有则使用> /etc/ld.so.preload清除异常链接库;
  • 挖矿木马可能还会添加登录用户或添加 SSH 公钥来保持服务器控制权限,使用cat ~/.ssh/authorized_keys查看是否存在可疑的SSH公钥,如果有则编辑该文件进行删除;
  • 使用vim /etc/shadow 或者 vim /etc/passwd查看是否有异常的新建用户,如果有则使用userdel -r $NAME删除可疑用户。
  1. 删除文件
  • 在第2步定位到异常进程,Linux的进程文件通常在/proc/$PID/文件夹下,使用ls -l /proc/$PID/exe确定挖矿进程的执行文件位置
  • 使用kill -9 $PID杀死进程
  • 清除第4步任务排查中发现的所有的挖矿木马遗留程序

这篇关于应急响应——Linux挖矿木马处置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/374517

相关文章

Linux线程同步/互斥过程详解

《Linux线程同步/互斥过程详解》文章讲解多线程并发访问导致竞态条件,需通过互斥锁、原子操作和条件变量实现线程安全与同步,分析死锁条件及避免方法,并介绍RAII封装技术提升资源管理效率... 目录01. 资源共享问题1.1 多线程并发访问1.2 临界区与临界资源1.3 锁的引入02. 多线程案例2.1 为

Oracle数据库定时备份脚本方式(Linux)

《Oracle数据库定时备份脚本方式(Linux)》文章介绍Oracle数据库自动备份方案,包含主机备份传输与备机解压导入流程,强调需提前全量删除原库数据避免报错,并需配置无密传输、定时任务及验证脚本... 目录说明主机脚本备机上自动导库脚本整个自动备份oracle数据库的过程(建议全程用root用户)总结

Linux如何查看文件权限的命令

《Linux如何查看文件权限的命令》Linux中使用ls-R命令递归查看指定目录及子目录下所有文件和文件夹的权限信息,以列表形式展示权限位、所有者、组等详细内容... 目录linux China编程查看文件权限命令输出结果示例这里是查看tomcat文件夹总结Linux 查看文件权限命令ls -l 文件或文件夹

idea的终端(Terminal)cmd的命令换成linux的命令详解

《idea的终端(Terminal)cmd的命令换成linux的命令详解》本文介绍IDEA配置Git的步骤:安装Git、修改终端设置并重启IDEA,强调顺序,作为个人经验分享,希望提供参考并支持脚本之... 目录一编程、设置前二、前置条件三、android设置四、设置后总结一、php设置前二、前置条件

Linux系统中查询JDK安装目录的几种常用方法

《Linux系统中查询JDK安装目录的几种常用方法》:本文主要介绍Linux系统中查询JDK安装目录的几种常用方法,方法分别是通过update-alternatives、Java命令、环境变量及目... 目录方法 1:通过update-alternatives查询(推荐)方法 2:检查所有已安装的 JDK方

Linux系统之lvcreate命令使用解读

《Linux系统之lvcreate命令使用解读》lvcreate是LVM中创建逻辑卷的核心命令,支持线性、条带化、RAID、镜像、快照、瘦池和缓存池等多种类型,实现灵活存储资源管理,需注意空间分配、R... 目录lvcreate命令详解一、命令概述二、语法格式三、核心功能四、选项详解五、使用示例1. 创建逻

Linux下在线安装启动VNC教程

《Linux下在线安装启动VNC教程》本文指导在CentOS7上在线安装VNC,包含安装、配置密码、启动/停止、清理重启步骤及注意事项,强调需安装VNC桌面以避免黑屏,并解决端口冲突和目录权限问题... 目录描述安装VNC安装 VNC 桌面可能遇到的问题总结描js述linux中的VNC就类似于Window

linux下shell脚本启动jar包实现过程

《linux下shell脚本启动jar包实现过程》确保APP_NAME和LOG_FILE位于目录内,首次启动前需手动创建log文件夹,否则报错,此为个人经验,供参考,欢迎支持脚本之家... 目录linux下shell脚本启动jar包样例1样例2总结linux下shell脚本启动jar包样例1#!/bin

Linux之platform平台设备驱动详解

《Linux之platform平台设备驱动详解》Linux设备驱动模型中,Platform总线作为虚拟总线统一管理无物理总线依赖的嵌入式设备,通过platform_driver和platform_de... 目录platform驱动注册platform设备注册设备树Platform驱动和设备的关系总结在 l

linux批量替换文件内容的实现方式

《linux批量替换文件内容的实现方式》本文总结了Linux中批量替换文件内容的几种方法,包括使用sed替换文件夹内所有文件、单个文件内容及逐行字符串,强调使用反引号和绝对路径,并分享个人经验供参考... 目录一、linux批量替换文件内容 二、替换文件内所有匹配的字符串 三、替换每一行中全部str1为st