应急响应——Linux挖矿木马处置

2023-11-09 06:40

本文主要是介绍应急响应——Linux挖矿木马处置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、挖矿木马简介

  1. 挖矿是什么?

挖矿的最终目的其实是为了获取虚拟货币(常见为比特币、以太坊等)。在区块链网络中,用户可以以通过使用大量计算资源来计算出合法数值的方式来获取虚拟货币。因此,以获取虚拟货币为目的的挖矿行为由此产生。通常采用“矿工-矿池”的模式进行挖矿,矿池负责监听网络中的交易、打包区块等工作,矿工根据矿池下发的计算任务,消耗大量的设备计算资源来获取符合要求的shares返回给矿池,矿池会给予矿工一定的收益。

  1. 挖矿木马做什么的?

挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。

简单来说就是:用你的计算机算力来赚钱

二、挖矿木马的传播方式

  1. 漏洞:利用系统漏洞获取主机权限来植入挖矿程序
  2. 弱口令爆破:利用弱口令爆破获取系统权限来植入挖矿木马
  3. 僵尸网络: 通过入侵其他计算机植入挖矿木马,并通过继续入侵更多计算机,从而建立起庞大的傀儡计算机网络一起“挖矿"。
  4. 无文件攻击方法: 通过在PowerShell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地,会直接在PowerShell.exe进程中运行,这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码 。
  5. 网页挂马: 将挖矿木马植入网页之中,在用户浏览器打开该网页时,就会解析挖矿脚本,利用用户计算机资源进行挖矿从而获利
  6. 软件供应链攻击: 在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击 。比如黑客在一个你信任的软件的更新包中嵌入木马程序,在升级的过程中就变向下载了挖矿木马。
  7. 软件伪装:将木马伪装成正常的软件来欺骗用户下载。
  8. 内部人员私自安装:企业内部人员私自在主机中装入挖矿木马。

三、感染挖矿的主要特征

  1. 主机卡顿,cpu爆满,部分服务无法正常进行
  2. 挖矿木马程序通常需要与矿池进行通信,查看系统网络连接情况,是否与异常IP有通信
  3. 挖矿木马与矿池通信的常用协议(例如stratum协议)通常有其固定的指令规则,查看日志内容是否有该种通信协议的指令

四、挖矿木马的清除

  1. 隔离主机

部分带有蠕虫功能的“挖矿”木马在取得主机的控制权后,会继续对局域网内的其他主机进行横向渗透,所以在发现主机被植入挖矿木马后,在不影响业务正常运行的前提下,应该及时隔离受感染的主机,然后进行下一步分析和清除工作。

  1. 确定进程

当主机中有挖矿木马程序在执行时,木马进程通常会占用大量的CPU资源,隔离主机以后需要立马对进程进行排查,确定是否有异常进程存在。Linux系统可以通过top -c命令查看当前进程情况。

  1. 阻断通信

挖矿木马需要与矿池保持通信,因此,我们需要对主机中网络连接进行排查来判断是否有可疑的ip和端口。使用netstat -tunlpa 通过微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区查看该异常进程是否有非常规的外网连接。

  1. 任务排查
  • 大部分挖矿木马通常会在主机中设置定时任务,在预设时间进行挖矿操作,以此来避免在主机使用高峰期被主机拥有者发现。通过 `crontab -l` 产看是否有定时木马启动任务,如果有则使用crontab -r清除异常启动项;
  • 开启自动启动也是挖矿木马常用的启动方式,使用systemctl list-unit-files查看是否有异常启动项,如果有则使用 systemctl disable 启动项清除异常启动项;
  • 动态链接库也是挖矿木马的藏匿地点之一,使用cat /etc/ld.so.preload命令查看是否有异常的动态连接选项,如果有则使用> /etc/ld.so.preload清除异常链接库;
  • 挖矿木马可能还会添加登录用户或添加 SSH 公钥来保持服务器控制权限,使用cat ~/.ssh/authorized_keys查看是否存在可疑的SSH公钥,如果有则编辑该文件进行删除;
  • 使用vim /etc/shadow 或者 vim /etc/passwd查看是否有异常的新建用户,如果有则使用userdel -r $NAME删除可疑用户。
  1. 删除文件
  • 在第2步定位到异常进程,Linux的进程文件通常在/proc/$PID/文件夹下,使用ls -l /proc/$PID/exe确定挖矿进程的执行文件位置
  • 使用kill -9 $PID杀死进程
  • 清除第4步任务排查中发现的所有的挖矿木马遗留程序

这篇关于应急响应——Linux挖矿木马处置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/374517

相关文章

Linux之systemV共享内存方式

《Linux之systemV共享内存方式》:本文主要介绍Linux之systemV共享内存方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、工作原理二、系统调用接口1、申请共享内存(一)key的获取(二)共享内存的申请2、将共享内存段连接到进程地址空间3、将

快速修复一个Panic的Linux内核的技巧

《快速修复一个Panic的Linux内核的技巧》Linux系统中运行了不当的mkinitcpio操作导致内核文件不能正常工作,重启的时候,内核启动中止于Panic状态,该怎么解决这个问题呢?下面我们就... 感谢China编程(www.chinasem.cn)网友 鸢一雨音 的投稿写这篇文章是有原因的。为了配置完

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

Linux命令之firewalld的用法

《Linux命令之firewalld的用法》:本文主要介绍Linux命令之firewalld的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux命令之firewalld1、程序包2、启动firewalld3、配置文件4、firewalld规则定义的九大

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、

Linux ls命令操作详解

《Linuxls命令操作详解》通过ls命令,我们可以查看指定目录下的文件和子目录,并结合不同的选项获取详细的文件信息,如权限、大小、修改时间等,:本文主要介绍Linuxls命令详解,需要的朋友可... 目录1. 命令简介2. 命令的基本语法和用法2.1 语法格式2.2 使用示例2.2.1 列出当前目录下的文

springboot filter实现请求响应全链路拦截

《springbootfilter实现请求响应全链路拦截》这篇文章主要为大家详细介绍了SpringBoot如何结合Filter同时拦截请求和响应,从而实现​​日志采集自动化,感兴趣的小伙伴可以跟随小... 目录一、为什么你需要这个过滤器?​​​二、核心实现:一个Filter搞定双向数据流​​​​三、完整代码