首先说明一点,当你在搜索"xig"的时候,我可以肯定你的服务器已经被恶意攻击了,
原因很简单:绝大部分都是因为服务器连接密码设置过于简单。
回去改个密码再删删文件什么的基本就解决了,这种小白挖矿程序一般都只是占用服务器资源挖挖矿什么的,其他危害倒不严重。
由于之前我搜索“xig”的时候没遇到什么有针对性的文章,估计是已经很少有人犯这种错误了,但想想还是把细节写出来,引以为戒吧。
首先肯定是服务器运行发生了异常,具体表现为:
1、CPU占用极高,一般都是80%,服务器负载基本是100%了,出现大量僵尸进程、休眠进程
2、后台大量可疑进程,比如xig,xige,mservice什么的,反正一大堆,用ps -ef命令能有好几页
3、有这些东西在后台跑着,服务器反应肯定会被拖慢,所以服务器在处理自己发起的请求时,给出响应的时间要比平时长得多。
如果你在用宝塔面板管理着服务器的话,发现异常就简单得多了:
下面谈谈和攻击相关的吧:
一、攻击目的
攻击者通过 SSH 暴力破解控制的设备来进行 DDoS 攻击,主要利用被攻击的服务器的资源进行虚拟货币的挖掘,从而谋取利益。也就是挖挖比特币、门罗币什么的,俗称挖矿
自动化 SSH 暴力破解攻击的无差别自动化攻击方式使得开放 SSH 服务的 Linux 服务器(包括传统服务器、云服务器等)、物联网设备等成为主要攻击目标。
二、攻击字典:
对统计的 SSH 暴力破解登录数据分析发现
1、接近 99% 的 SSH 暴力破解攻击是针对 admin 和 root 用户名;
2、攻击最常用弱密码前三名分别是 admin、 password、 root, 占攻击次数的 98.70%;
约 85% 的 SSH 暴力破解攻击使用了 admin / admin 与 admin / password 这两组用户名密码组合。
图片来自网络。
三、攻击方式
攻击流程
图片来自网络。
自动化暴力破解攻击成功后,常使用 wget /curl 来植入恶意文件。Linux用的wget,少部分攻击者还会在 HTTP 服务器上,同时运行 TFTP 和 FTP 服务,并在植入恶意文件时,执行多个不同的植入命令。这样即使在 HTTP 服务不可用的情况下,仍可以通过 TFTP 或 FTP 植入恶意文件。
本次被植入的恶意脚本是 「一路赚钱」挖矿恶意程序,主要利用被控制的设备挖掘虚拟货币,这个 64 位的 Linux 挖矿恶意程序部署脚本执行后,会植入「一路赚钱」 64 位 Linux 版本的挖矿恶意程序压缩包yilu.tgz,并解压到 /opt 目录下产生文件夹yilu,然后运行主程序 mservice,注册为 Linux 系统服务,服务名为 YiluzhuanqianSer。该文件夹中有三个可执行文件 mservice / xige / xig,均被反病毒引擎检测出是挖矿类的恶意样本。根据配置文件可知, mservice 负责账号登录 / 设备注册 / 上报实时信息,而 xige 和 xig 负责挖矿,xige 挖以太币 ETH,xig 挖门罗币 XMR。
这些文件在opt/yilu里面,只要你被攻击了,在这些路径下一定能找到。
「一路赚钱」的 64 位 Linux 版本挖矿恶意程序文件夹内容如下:
图片来自网络。
挖矿使用的矿池地址:
xcn1.yiluzhuanqian.com:80
ecn1.yiluzhuanqian.com:38008
我这次被攻击对方用的是第一个地址
四、解决方案
本人能力有限,给出的解决方案只能是暂时能用,具体的各位再查查吧。
修改服务器远程连接密码。密码、密码、密码!!!别偷懒,越复杂越好。
强制杀死xig、mservice、xige等相关进程
删除可疑文件
禁止对方相关IP的访问权限
重启
这是对方IP被禁止访问后的情况,还在不停申请访问,因为xig进程我还没杀,杀了估计就没了
攻击方IP地址:115.238.241.139 浙江省丽水市 电信
本人能力实在有限,不然真想打回去。
各位有能力的大佬,路见不平拔个刀呗