1. 程式人生 > 其它 >挖礦病毒分析(centos7)

挖礦病毒分析(centos7)

因為我在工作的時候被各種挖礦病毒搞過幾次,所以在這裡整理下我遇到的病毒以及大神們的解決方案。

伺服器中挖礦病毒後,最基本的一個特徵就是CPU使用率瞬間飆升,此時可以通過top命令進行檢視,確認是否有異常程序,當然有一些挖礦病毒稍微高階一些,比如pamdicks,它的程序是隱藏的,通過unhide命令或者使用sysdig命令可以檢視。

  挖礦病毒的特點:

1、檔案/定時任務刪除失敗-------------------檔案只讀屬性保護

2、檔案/定時任務刪完又出現-----------------系統檔案替換/下載程序殘留

3、病毒程序剛剛刪完又被拉起---------------惡意程序守護

4、主機嚴重卡頓但找不到挖礦程序-----------系統命令劫持

5、主機殺乾淨後一段時間又出現病毒---------ssh&漏洞再次入侵

當伺服器中挖礦病毒後,很有可能系統命令被黑客替換,導致執行某系統命令時,有可能執行被黑客注入到伺服器的惡意程式,所以伺服器上最好提前安裝個busybox。

1、  pnscan

比較有名的挖礦蠕蟲病毒,攻擊手段為通過redis感染伺服器,如果redis的埠為預設的6379且暴露在公網上,且沒有設定客戶端連線密碼認證,很容易感染,這個病毒是分級別的,好在我遇到的是比較簡單的,解決方法如下
(1)首先通過busybox top檢視pnscan的路徑,

(2)刪除pnscan,可能檔案是隻讀的,不能被刪除,需要通過busybox lsattr 檔名檢視檔案的屬性,一般屬性是-a或者-i,然後執行busybox chattr –a/-i 檔名更改檔案屬性後即可刪除

(3)殺掉pnscan相關程序

2、rshim

挖礦病毒的一種,常見於以root使用者啟動redis服務,並且redis使用預設埠,導致6379埠被攻擊。解決方法跟pnscan差不多,在查詢檔案和程序的時候,發現由hilde使用者執行,在home目錄下多了個hilde目錄,裡面建立了免密登入的公鑰,需要hilde整個目錄刪除,之後執行userdel –r hilde刪除該使用者

圖片沒截全,簡單看看就行

3、[scan]

這個具體不清楚是什麼病毒,看網上說也是通過redis進行攻擊的,本次cpu佔滿也是因為這個程序,解決方案跟上面相似,也是先查路徑,再刪檔案,再殺程序。通過檢視它的檔案,我們可以看到如下圖所示的程式碼。

通過它的指令碼看到redis-cli –h….相關的程式碼,檢視程序發現果然多了一個redis-cli的程序。具體是什麼作用,這裡不做研究,只知道要把指令碼刪掉,把這個程序殺掉就可以了。

然後我在檢視磁碟空間的時候,發現根目錄磁碟使用情況不太正常,推測應該是被指令碼惡意生成了隱藏檔案,我進入到根目錄下ls –a檢視,發現多出了很多如下圖所示的檔案。

都是.r.*這種格式的檔案,查了一下發現這種檔案有四萬多個,果斷刪掉,把這些檔案刪掉後,再檢視磁碟使用情況,已經正常了。

4、pamdicks

這是我之前工作就遇到過的挖礦木馬,也是第一個遇到的,當時沒什麼經驗,弄到很晚,這裡有朋友圈為證

可以看出來啊,這個木馬特別的猛啊,8核的cpu瞬間幹滿,不斷啟動pamdicks程序,伺服器不斷重啟,操作起來特別卡。解決方案就是刪除原檔案,並建立一個頂包空檔案,然後使用系統chattr對其進行鎖定禁止修改。命令如下。

rm -rf /usr/bin/pamdicks /bin/pamdicks

touch /usr/bin/pamdicks /bin/pamdicks

chattr +i /usr/bin/pamdicks /bin/pamdicks

然後再殺程序就可以了。

  本次伺服器被入侵,被人植入了金鑰檔案,導致入侵者可以免密登入伺服器,在redis中看到了一個很奇怪的key,它的value的意思是一個定時任務通過curl下載某個sh指令碼,並執行,看到網上的一位博主,總結的很好,它總結的原因如下。

  1.redis沒有做任何安全措施,直接暴露在公網,任何redis客戶端都可以直接連線。

2.被惡意的連線連線上後,在他的機器上生成ssh祕鑰,然後set到redis中,最後使用redis的config命令,將預設RDB方式出來的dump.rdb檔案修改為authorized_keys,然後把檔案的目錄設定到/root/.ssh下。

3.這樣一來,就非常危險了,攻擊者可以直接ssh到你的linux主機,接下來,root賬戶,為所欲為。被挖礦也就不稀奇了。

 

建議:redis一定要設密碼,改埠,埠儘量不要對外開放。

不要以為在外網redis的埠不通就沒有事情。只要內網裡有機器感染了病毒,就可以繼續感染。