Linux挖礦木馬怎么解決

本篇內(nèi)容介紹了“Linux挖礦木馬怎么解決”的有關(guān)知識，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

一、事件背景

最近接到客戶反饋，發(fā)現(xiàn)Linux機(jī)器卡頓，CPU使用量超標(biāo)高達(dá)90%以上，懷疑被挖礦，深信服EDR安全團(tuán)隊(duì)第一時(shí)間進(jìn)行了應(yīng)急處理，并發(fā)現(xiàn)該挖礦木馬為一款新型的Linux挖礦木馬，并對此樣本進(jìn)行了深入的研究分析。

二、樣本分析

1.對一系列礦池地址進(jìn)行DNS查詢請求，如下：

相應(yīng)的礦池地址列表如下：

pool.minexmr.com,xmr-eu1.nanopool.org,xmr-eu2.nanopool.org

xmr-us-east1.nanopool.org,xmr-us-west1.nanopool.org,xmr-asia1.nanopool.org

xmr-jp1.nanopool.org,xmr-au1.nanopool.org,xmr.crypto-pool.fr

fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com

pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com

xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com

xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com

pool.monero.hashvault.pro、gulf.moneroocean.stream

us-east.cryptonight-hub.miningpoolhub.com

europe.cryptonight-hub.miningpoolhub.com

asia.cryptonight-hub.miningpoolhub.com

2.通過chattr -i刪除掉文件保護(hù)屬性，重新感染主機(jī)系統(tǒng)，如下：

3.通過進(jìn)程/proc/[進(jìn)程ID]/exe，獲取文件的路徑，如下：

4.在內(nèi)存中拼接字符串，如下所示：

相應(yīng)的命令行如下：

5.運(yùn)行/bin/sh執(zhí)行之前拼接出來的命令，復(fù)制自身，添加相應(yīng)的自啟動(dòng)項(xiàng)，進(jìn)行持久化操作，如下所示：

相應(yīng)的反匯編代碼如下：

6.通過rm -f進(jìn)行自刪除操作，如下：

7.修改resolv.conf配置文件，如下：

相應(yīng)的反匯編代碼如下：

修改之后的resolv.conf文件如下：

8.修改crontab定時(shí)任務(wù)文件，如下：

相應(yīng)的反匯編代碼，如下：

9.修改之后的定時(shí)文件內(nèi)容，如下：

10.判斷是否可以讀取如下文件，如下：

11.修改原系統(tǒng)中的top程序，如下：

將內(nèi)存中的數(shù)據(jù)，寫入新生成的top程序，如下：

12.修改復(fù)制后的文件保護(hù)屬生，如下：

13.生成臨時(shí)記錄文件mmlog，如下：

14.設(shè)置系統(tǒng)內(nèi)存屬性等，如下：

15.干掉其它網(wǎng)絡(luò)請求程序，如下：

16.干掉其它挖礦進(jìn)程，如下：

通過/bin/sh執(zhí)行如下命令：

17.啟動(dòng)新的挖礦進(jìn)程，然后進(jìn)行挖礦操作，挖礦的進(jìn)程名從列表中隨機(jī)選取，如下：

隨機(jī)進(jìn)程列表如下：

[aio][async][ata][ata_aux][bdi-default][cpuset][crypto][ecryptfs-kthrea]

[events][ext4-dio-unwrit][flush-251:0][flush-8:0][jbd2][kacpi_hotplug]

[kacpi_notify][kacpid][kblockd][kconservative][kdmflush][khelper][khubd]

[khungtaskd][kintegrityd][kmmcd][kmpath_handlerd][kmpathd][kondemand]

[kpsmoused][kseriod][ksmd][ksnapd][ksoftirqd][kstriped][ksuspend_usbd]

[kswapd0][kswapd1][kthreadd][migration][netns][pm][scsi_eh_0][sync_supers]

[usbhid_resumer][watchdog][xfs_mru_cache][xfsaild][xfsbufd][xfsconvertd]

[xfsdatad][xfslogd][xfssyncd]

18.內(nèi)置的挖礦程序，通過配置文件啟動(dòng)挖礦程序，進(jìn)行挖礦，如下：

19.同時(shí)發(fā)現(xiàn)程序內(nèi)置了一個(gè)py腳本，執(zhí)行下載執(zhí)行程序，由于遠(yuǎn)程服務(wù)器地址失效了，無法下載相應(yīng)的樣本，導(dǎo)致無法分析，提取出來的相應(yīng)的py腳本如下：

20.抓獲取的相應(yīng)的數(shù)據(jù)包如下，此樣本批量DNS請求相應(yīng)的礦池地址，如下：

挖礦的網(wǎng)絡(luò)數(shù)據(jù)包，如下：

跟蹤TCP數(shù)據(jù)流如下：

把礦池的IP地址到VT上進(jìn)行查詢，如下：

錢包地址：

462ESZn57F4fBneHKXhnEM4TmgCvgrsErGJBLY1T61fmKGymjFuEZup6pnqhT3iJtw4fgbsjdPLwUgsGnr1zzDKuFSkZaF1

通過錢包地址查詢，如下：

 三、解決方案

該Linux挖礦木馬清除解決方案如下：

1.結(jié)束相關(guān)的進(jìn)程,通過ps查找相關(guān)進(jìn)程，挖礦的進(jìn)程名在隨機(jī)進(jìn)程列表中

進(jìn)程[xfslogd]占用CPU較高，通過kill -9 24984結(jié)束此進(jìn)程，同時(shí)可以看到此進(jìn)程是由我們分析的母體進(jìn)行創(chuàng)建的

2.清理定時(shí)任務(wù)

清除掉最后一行定時(shí)任各啟動(dòng)libiacpkmn.so.3

3.清除/usr/lib/目錄下的libiacpkmn.so.3文件，清除文件保護(hù)屬性后刪除

4.清除/bin和/etc/init.d兩個(gè)目錄下的nfstruncate文件，清除文件保護(hù)屬性后刪除

5.清除rc*.d文件下的文件鏈接，分別為rc0.d-rc6.d文件中的S01nfstruncate文件

“Linux挖礦木馬怎么解決”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！