近期DDG挖矿病毒防护与分析

最新推荐文章于 2023-07-06 20:57:54 发布
最新推荐文章于 2023-07-06 20:57:54 发布
阅读量421 收藏
点赞数
文章标签: 数据库 shell 操作系统
原文链接:https://yq.aliyun.com/articles/624540
版权

0x01 导语

最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下
image

该威胁可以被阿里云态势感知发现并产生警报:
image

本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

0x02 恢复与防护

如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样,可以判断服务器中已经被植入了该DDG挖矿病毒

由于该挖矿病毒主要通过Redis进行传播,如果服务器上开启了Redis服务,一定要访问控制,如IP白名单、使用密码验证等,并且设置高强度密码,防止被爆破,Redis的相关攻击可以参考:
http://www.freebuf.com/vuls/148758.html(webshell写入、ssh的key写入等)

在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2,是不能解决问题的,因为不仅存在守护进程ddg*会重启挖矿程序,甚至cron定时计划也已经被篡改。
可以通过下面的步骤进行恢复:

1、通过top查看qW3xT.2ddg*进程号,如:

image

2、通过kill杀掉这两个进程
3、通过find / -name qW3xT.2find / -name ddg*搜索命令进行查找,将搜索到的相关文件进行删除
4、清除定时任务中被恶意写入的项,定时任务文件路径:
/var/spool/cron/root
/var/spool/cron/crontabs/root

0x03 行为分析

态势感知报警中的异常执行的命令为:
image

查看下载的shell脚本内容:

image

该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行

/var/spool/cron/root
/var/spool/cron/crontabs/root

同时,如箭头所指内容,根据uname -m判断32位或64位后进一步下载恶意程序ddg*
追溯到恶意程序http://149.56.106.215:8000/static/3013 ,在线查杀平台virustotal报毒:
image
image

在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:
image

之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:
image
image

最后下载创建/tmp/qW3xT.2文件,并且和ns528389.ip-149-56-106.net的8000端口建立连接,该域名解析地址正式上面出现的IP地址:
image

抓包分析,看到服务器通过http协议向攻击者访问/slave的行为,并且下载了/static/qW3xT.2
image
image
image

在访问/slave的响应中,存在Miner字样:
image
ddg*下载完成qW3xT.2文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互:
image
image
image

weixin_34018169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DDG最新变种3014样本分析
12-20
DDG最新变种3014样本分析
Linux应急响应入门——入侵排查
Dou_Hua_Hua的博客
11-26 315
账号安全: 1、用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root:x:0:0:root:/root:/bin/bash # 查看可登录用户: cat /etc/passwd | grep /bin/bash # 查看UID=0的用户 awk -F: '$3==0{print $1}' /etc/passwd # 查看sudo权.
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1357
Linux处理挖矿病毒
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4646
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
注意Libgcc_a挖矿病毒传播!内附自查方法
u010291330的博客
03-27 1708
近期,我们监测发现一种新型劫持变种病毒,经分析其主体程序为XMrig挖矿病毒家族的变种,该病毒具有较强的顽固性和隐蔽性,难以被查杀,进程杀死后自启动。通过修改/etc/ld.so.preload文件,对程序启动加载进程进行劫持,针对不同的架构配有不同的so文件,通过这些so文件加载以加载恶意的可执行文件libgcc_a,spirit。7、排查etc/ld.so.preload配置文件,是否存在指向usr/local/lib/sshpkit.so、/usr/local/lib/pkitarm.so等内容。
第164天:应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
qq_46081990的博客
07-06 558
挖矿病毒的背景一般是CPU、GPU占用很高,服务器耗电量很大我们上来首先做的是看CPU、GPU占用率,定位占用率很高的进程找到挖矿病毒样本,将病毒样本放到微步在线上分析由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成所以要继续排查计划任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可由于黑客能上传挖矿病毒,那必定是拿到了服务器权限的,所以重点还需要知道黑客是如何进来的(比如黑客通过ssh弱口令爆破拿到的服务器,那么我们如何知道呢?
查杀病毒实战ddg.223 and AnXQV 1
08-08
1 | sh注释掉计划任务!1 | sh最后杀掉可疑进程,问题解决。
人群CNV、单倍剂量不足基因DDG2P数据库文件
最新发布
05-15
population_cnv_grch38.txt (人群CNV GRCH38数据文件) population_cnv_grch37.txt(人群CNV GRCH37数据文件) HI_Predictions_Version3.bed(单倍剂量不足基因数据库文件) DDG2P_22_4_2024.csv(DDG2P数据文件)
go-ddg:ddg 包提供了 DuckDuckGo API 的接口
05-30
ddgddg 提供了的实现。例子 package mainimport ("log""fmt""github.com/TheCreeper/go-ddg")func main() {c := ddg.NewClient()_, text, err := c.FeelingLucky("Ducks")if err != nil {log.Fatal(err)}fmt....
flex_ddG_tutorial
05-27
Flex ddG教程 该教程的最新版本。 介绍 在本活动中,您将利用Rosetta中的Flex ddG 协议对突变后的结合自由能(接口ΔΔG)进行计算建模和预测。 该协议使用“ backrub”协议在实现,以采样构象多样性。 建议您使用...
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1533
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
2019年上半年挖矿木马报告:日均新增6万个木马样本
systemino的博客
07-12 2629
一、概述 比特币在经历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月底达到13000美元/BTC,接近历史最高水平17000美元/BTC。 随着比特币的飙升,推动整个数字加密货币价格回升,与币市密切相关的挖矿木马开始新一轮活跃。例如2019年3月初开始出现的“匿影”挖矿木马,自出现之后就不断更新基础设施,利用各大图床、网盘传播恶意挖矿程序;“永恒之蓝”下载器木马、Wan...
【应急响应】Linux下变种DDG挖矿应急处理总结
Fly_鹏程万里
03-07 1290
背景 春节刚过,黑产团队就开始了新的一年的工作。21日晚上九点多,正准备回家享受快乐时光呢,钉钉就响了,客户应急来了,8台机器感染挖矿木马病毒挖矿病毒这两年也处理了不少了,但是这次的应急受益匪浅,值得记录一下。 事件处理过程 0x01 传播途径 此次事件从网上收集了下,途径不止有被通报的Redis, Jenkins RCE 漏洞 Nexus RCE 漏洞 Redis未授权访问or弱...
阿里云服务器被挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%
橡皮的博客
03-13 8292
今天登录服务器感觉服务器特别的慢。结果查看发现有两个进程占用CPU100%了,一个是minerd一个是wnTKYg。如果大家遇到请小心。查看服务器各个程序占用资源量 [root@iZ2zeayj54m6qs0689jm39Z ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9262
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
【应急类漏洞】Linux下变种DDG挖矿病毒紧急通告及处置方法
Fly_鹏程万里
03-07 1469
病毒事件介绍 2019年2月21日 Linux下DDG变种挖矿病毒在全国范围内大规模爆发,默安科技应急响应中心经过对样本分析发现,该病毒变种通过Redis未授权访问漏洞进行突破植入,然后使用本地密钥登录.ssh/known_hosts文件中的服务器进行横向传播,造成大量服务器负载增高,无法正常提供业务。 病毒执行的恶意脚本通过以下地址进行储存和更新: https://pastebin.com...
挖矿病毒处理记录
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
记一次服务器被挖矿木马攻击的经历
点滴汇聚,智在积累。——Danny
01-07 2万+
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ 清除恶意程序 首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: (图2) 先删除/tmp/imWBR1,再kill掉imW
python ddg
05-13
我不太明白您说的“python ddg”是指什么,不过我可以为您介绍一下Python编程语言。 Python是一种面向对象、解释型、动态类型的高级编程语言,具有简单易学、易读易写的特点。它广泛应用于Web开发、数据科学、人工...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值