WK行为排查
网络层
WK程序通常会占用大量网络资源,访问特殊网站矿池,产生异常流量。可通过设备告警信息,流量监控,IP地址解析等进行WK排查。
(1)设备告警信息
查看流量回溯、DNS、态势感知、集中化主机安全防范系统,运维管理平台(CPU、硬盘、网络监控)等是否存在异常告警。
(2)流量监控
利用流量监测设备,对设备I/O进出口流量、DNS服务器请求进行监控、排查是否存在流量异常波动,进而对异常流量溯源。
(3)IP地址解析
排查访问矿池域名的设备。
主机层
WK程序会占用大量系统资源、安全防护设备告警、进程行为、服务器及端口、网络连接状态、自启动或任务计划脚本、配置文件、日志文件等方式排查。
(1)常见WK端口:bitcoin9332,litecoin9327,3333,3334,8888,8332,8333,20581;
(2)进程行为:top指令;
(3)网络连接状态:netstat查看主机网络连接状态和对应进程,查看是否存在自启动或定时任务列表,crontab查看定时任务(linux),在windows系统中,管理工具-任务计划程序;
(4)配置文件:etc/hosts,iptables配置;
(5)日志文件:主机系统或应用日志,是否存在大量审核失败日志;
挖矿进程排查
Linux系统:top筛选出占用CPU过高的可疑进程,部分WK进程名不规则;
若隐藏进程:
(1)查看是否替换了系统命令:使用rpm -Va查看命令是否被替换,可直接从纯净系统拷贝ps,top等命令到受感染主机上对比。
(2)查看是否修改了动态链接库
使用cat /etc/ld.so.preload 或 echo &LD_PRELOAD命令查看是否有预加载的动态链接库文件;使用ldd命令查看命令依赖库中是否有可疑动态文件,再将libprocesshider.so文件加入ld.so.preload文件中,ldd可查看top命令预先加载的可疑动态库;可使用静态编译的busybox进行排查;
Windows系统:wmic process get caption, commandline /value 查看某个运行程序进程的命令行参数;
Linux系统清理:清除计划任务,清除启动项,清除预加载so,清除SSH公钥,清除恶意进程;
Windows系统清理:清除文件病毒(杀毒软件),清空C:\windows\temp文件;清除计划任务;清除预留内存病毒;