1

一次minerd肉鸡木马的排查思路

 2 years ago
source link: https://blog.51cto.com/u_15714439/5592377
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

一次minerd肉鸡木马的排查思路

精选 原创

京东云官方 2022-08-19 09:18:20 ©著作权

文章标签 网络安全 安全漏洞 文章分类 安全技术 网络/安全 阅读数184

前言

在日常使用Linux系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡。以后就是一次肉鸡木马病毒的排查过程,有助于运维服务器时遇到此情况时进行针对性的排查和修复。

【问题现象】

Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。

【问题原因】

这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。

一次minerd肉鸡木马的排查思路_安全漏洞

经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径

执行ll /proc/$PID/exe,其中$PID为查询到的进程ID

异常程序在/opt目录下

一次minerd肉鸡木马的排查思路_安全漏洞_02

此程序一般是由计划任务产生的,Linux系统中默认创建了计划任务后会在/var/spool/cron目录下创建对应用户的计划任务脚本,执行ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。

可以看到,在此目录下有1个root的计划任务脚本和一个异常的目录crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录)

一次minerd肉鸡木马的排查思路_网络安全_03

查看脚本内容,有一个每隔10分钟便会通过curl下载执行的脚本程序(crontabs目录下为同样内容的计划任务)

一次minerd肉鸡木马的排查思路_网络安全_04

手动将脚本内容下载到本地,脚本内容如下:

一次minerd肉鸡木马的排查思路_安全漏洞_05

分析此脚本,主要进行了如下修改:

1、创建了上述查看到的两个计划任务脚本

2、创建了密钥认证文件,导入到了/root/.ssh目录下(当前脚本的密钥文件名是KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实)

3、修改ssh配置文件允许了root远程登录,允许了密钥认证,修改默认的密钥认证文件名

4、重启了sshd服务使配置生效

5、创建了伪装程序ntp,并运行了ntp程序

6、查询系统中是否有正常运行的计划任务,杀死正在运行的计划任务进程。

【处理方法】

根据以上分析,提供以下处理方法:

1、删除计划任务脚本中异常配置项,如果当前系统之前并未配置过计划任务,可以直接执行rm -rf /var/spool/cron/* 情况计划脚本目录即可。

2、删除黑客创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接执行rm -rf /root/.ssh/* 清空认证存放目录即可。如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可,当前脚本的密钥文件名是KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实。

3、修复ssh配置项,根据个人需求进行修改,一般默认脚本中进行修改的PermitRootLogin、RSAAuthentication、PubkeyAuthentication为开启状态,需要修改的是密钥认证文件名,建议修改成默认值AuthorizedKeysFile     .ssh/authorized_keys即可。修改完成后重启sshd服务,使配置生效即可。

4、删除黑客创建的伪装程序ntp

执行ls /etc/init.d/可以看到系统中是由对应的伪装程序的

一次minerd肉鸡木马的排查思路_安全漏洞_06

通过chkconfig --list  ntp 可以看到此程序默认设置的是开机自动启动。

一次minerd肉鸡木马的排查思路_安全漏洞_07

如果此程序不进行清除,即使删除了minerd程序并且杀死了对应的进程,过一会系统还会重新创建minerd程序,并产生新的进程

查询一下当前系统中是否有ntp进程,可以看到ntp进程是通过/usr/sbin/ntp程序产生,因此需要把对应的执行程序也进行删除。

一次minerd肉鸡木马的排查思路_网络安全_08

总结一下删除伪装程序的操作步骤

kill -9 $PID 杀死查询到的ntp进程

rm -rf /etc/init.d/ntp

rm -rf /usr/sbin/ntp (此路径要根据具体的查询数据确定,实际情况可能会有所变化)

5、根据之前的查询minerd程序所在路径为/opt,在执行的脚本中同时也在/opt目录下创建了一个KHK75NEOiq33的程序文件,因此要删除这两个文件,执行rm -rf KHK75NEOiq33 minerd 即可。

一次minerd肉鸡木马的排查思路_安全漏洞_09

6、使用kill命令杀死minerd进程

通过ps命令查询一下minerd对应的进程详细情况。

一次minerd肉鸡木马的排查思路_安全漏洞_10

kill -9 $PID 杀死对应的进程ID

备注:根据ps查询结果显示minerd有向域名xmr.crypto-pool.fr进行数据通信,通过ping测试域名解析核实此域名对应的IP地址,然后在ip.taobao.com进行查询显示IP为法国的IP,然后通过iftop -i eth1 -PB命令对流量进行了监控,确实存在向法国的IP发送数据的情况,为了避免再次被入侵,可以通过iptables屏蔽对应的异常IP(具体的IP和域名要根据实际查询的情况而定,可能会有所不同)。

一次minerd肉鸡木马的排查思路_安全漏洞_11

以上修复完成后可以等待一会再次进行一下观察,看看是否还会在/opt目录下创建新的minerd程序,以及是否还有新的minerd进程产生。

最后,建议平时增强服务器的安全维护,优化代码,以避免因程序漏洞等导致服务器被入侵。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK