一、前言
朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。
二、处置
top查看cup发现占用300%,确实是被用来挖矿了。
![](https://img-blog.csdnimg.cn/img_convert/91479cf14bcc585524dff2ec744b51a0.png)
查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事?
![](https://img-blog.csdnimg.cn/img_convert/dcb3c16104991282e6a51af15f7d05cb.png)
查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,异常IP地址为5.133.65.54。
![](https://img-blog.csdnimg.cn/img_convert/a313185b874daf7ba2dfb2385b951e0d.png)
查看IP为国外IP,微步上显示矿池IP。
![](https://img-blog.csdnimg.cn/img_convert/ead556cfb7a1c8fe9ff8fbcb2532b033.png)
![](https://img-blog.csdnimg.cn/img_convert/1199cc2470de39b098f5aa17a991ab25.png)
既然有pid那就先杀死进程。
![](https://img-blog.csdnimg.cn/img_convert/4fa0d3c799e92b4e9b90ca51404c688a.png)
但是过一会挖矿木马又重新启动,pid为13097。
![](https://img-blog.csdnimg.cn/img_convert/46faf7c8909b5ffd831c5abb1c6f3ae9.png)
![](https://img-blog.csdnimg.cn/img_convert/99f57343ab881aefd5cbb68a85792836.png)
既然会自动复活猜测存在定时任务,查看时却为空。
![](https://img-blog.csdnimg.cn/img_convert/1ee2c9c6023f1bbd6e7217f099bcfc00.png)
那只能查看计划任务文件,发现异常计划任务并且路径为/etc/xbash/xbash。
![](https://img-blog.csdnimg.cn/img_convert/8c9c459fea51c6199e137ba52d6c8de2.png)
继续查看其他计划任务 /var/spool/cron。
![](https://img-blog.csdnimg.cn/img_convert/eb986ce31abee901fae224db5d3f763e.png)
![](https://img-blog.csdnimg.cn/img_convert/28f6ce52cd88cc58c9ccf9650038e8ea.png)
本以为删除计划任务、终止进程木马后就可以了。谁知道没一会cpu又被跑满,异常进程pid为19037,那应该还存在守护进程。
![](https://img-blog.csdnimg.cn/img_convert/4e75fa71c6948698fd66562dc9018b43.png)
systemctl status 19037查看守护进程,发现异常地址为/root/gcclib/libgcc_a
![](https://img-blog.csdnimg.cn/img_convert/01727d7ead5b8da3e04e1f52f2e9e196.png)
接下来清除异常进程,删除异常文件。
![](https://img-blog.csdnimg.cn/img_convert/b494fb647a22866f148464ba02fca2fc.png)
再删除最开始计划任务中另一个异常文件。
![](https://img-blog.csdnimg.cn/img_convert/da703e2745febc38f2c1556429ffd3fb.png)
随后查看网络连接,恢复正常。
![](https://img-blog.csdnimg.cn/img_convert/c070f73f969113865575ada9b80b44a2.png)
为防止木马再次复活,重启后过一段时间查看cpu,也处于正常状态。
![](https://img-blog.csdnimg.cn/img_convert/bf30c31f59522feb057540c19cf6c1b9.png)
三、分析
攻击者通过爆破22端口进入主机,并启动木马。该木马病毒比较狡猾,杀死进程后不仅存在计划任务会导致复活,还存在守护进程。在不清除守护进程的前提下无法从根本去除该木马。该病毒在沙箱显示安全,可能是因为比较新没有检测到。属于Derusbin家族xmrig挖矿程序,用来挖掘门罗币。存在多个恶意行为,例如通过写入一个contrab创建计划任务,停止指定服务,并使用wget命令从网上下载文件到目标机,还有读取用户数据,删除文件及修改文件夹权限等等。
![](https://img-blog.csdnimg.cn/img_convert/835ec23d0155803a040de9db11a4b772.png)
![](https://img-blog.csdnimg.cn/img_convert/5a000b4ca40e8bcc1d3fa0adef1570b6.png)
四、建议
禁止弱口令,建议由大小写字母,特殊字符以及数字组成。
定期检查安全软件安装情况及病毒库更新。
内部进行安全培训,加强安全意识。