安全矩阵

 找回密码
 立即注册
搜索
查看: 903|回复: 0

记一次linux挖矿木马WarmUp的处置

[复制链接]

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
发表于 2022-11-2 16:15:17 | 显示全部楼层 |阅读模式
记一次linux挖矿木马WarmUp的处置[url=]利刃信安[/url] 2022-10-24 14:41 发表于北京
收录于合集#网络安全29个
场景
受公司委托对客户服务器挖矿木马进行应急处置,客户说服务器很卡让我们排查处置一下,okok,直接远程开搞开搞,所有可疑文件先下载留存,再删除。
排查分析
使用top命令查看CPU使用率时发现,进程warmup CPU使用率过高,如图所示,该进程高度可疑。即使是kill 掉该进程也无济于事,后面又会自动跑起来。
编辑
使用ps命令查看进程时发现可疑进程/root/.warmup/warmup,如图所示。

通过命令chkconfig排查开机启动项,如图找到warmup文件
编辑
通过find / -name "*warmup*"命令排查启动项时发现存在10个可疑启动项,/etc/rc.d/init.d/warmup、/etc/rc.d/rc0.d/K15warmup、/etc/rc.d/rc1.d/K15warmup、/etc/rc.d/rc2.d/S85warmup、/etc/rc.d/rc3.d/S85warmup、/etc/rc.d/rc4.d/S85warmup、/etc/rc.d/rc5.d/S85warmup、/etc/rc.d/rc6.d/K15warmup、/etc/alternatives/.warmup、/root/.warmup,部分可疑启动项如图所示。
编辑
通过crontab -l排查计划任务时发现没有计划任务,这肯定隐藏着计划任务,客户说已经杀死进程,但还会一直自动生成启动。那就上cron.weekly、cron.hourly、cron.monthly看看吧,果然在cron.hourly发现了异常。如图
编辑
在somescript中查看有多个位置有关联文件,如图
编辑
那就继续排查找到关联位置相关文件,找到etc/alternatives/.warmup中的恶意文件,如图
编辑
对提取的文件cpnfig.json进行威胁检测分析,经分析,该文件为挖矿木马文件(coinMiner木马),如图
编辑
使用cat命令查看config.json文件内容,发现该文件url中地址为矿池地址,情报分析如图。
编辑

编辑
邮件排查,使用ls -l命令列出/var/spool/mail下的可疑文件并查看,对涉及到的IP进行威胁情报分析,经分析,涉及IP均为矿池地址,如图。
编辑

编辑
上述只要找到和warmup关联的文件都下载下来留存,方便后续溯源。
编辑
应急处置
1、结束进程,kill -进程id;
2、删除所有关联恶意启动项;
3、删除所有关联恶意服务项;
4、删除所有关联恶意计划任务;
5、全盘查杀木马,并重启服务器。
其他排查路径
其他可能存在定时任务需要排查的路径
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/anacrontab
/etc/cron.*
/etc/anacrontab
/etc/rc.d/init.d/
防范措施
1.安装杀毒软件
安装杀毒软件,更新病毒库,进行全盘杀毒。
2.避免弱密码
避免使用弱密码,避免多个系统使用同一密码,登录口令要有足够的长度和复杂性,并定期更换登录口令。
3.关闭应用服务
关闭Windows共享服务、远程桌面控制等不必要的服务。
4.应用安装
不要安装不认识的、具有风险的应用;安装应用尽量到正规应用商店下载。
5.提高网络安全意识
不使用不明来历的U盘、移动硬盘等存储设备;
不要点击来源不明的邮件以及附件;
不要下载来源不明的破解软件;
不接入公共网络也不允许内部网络接入来历不明外网设备。
————————————————
版权声明:本文为CSDN博主「beichenyyds」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/beichenyyds/article/details/126866876

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 10:38 , Processed in 0.012468 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表