应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
什么是挖矿木马
挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。
目录:
什么是挖矿木马
挖矿木马的危害:
挖矿木马-实战(排查)
(1)事件概述.
(2)确认攻击的范围.(有多少主机被攻击了)
消除木马:
(1)查看 CPU 的运行情况,是否存在挖矿木马.
(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)
(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)
(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)
(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)
(6)排查 定时任务.
(7)如果还有,可以排查开机启动项.
日志分析:(随便排查出系统存在的其他隐患)
(1)排查 是否存在后门.(Web网站)
(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.
(3)排查完进行删除所以木马文件.
日志存在:
日志不存在:
漏洞修复:
(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.
(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.
(3)定期给主机打补丁.
挖矿木马的危害:
▶ 影响计算机性能:挖矿木马会占用大量的CPU资源,导致电脑运行缓慢,甚至出现卡顿现象 。
▶ 浪费资源:挖矿过程中会消耗大量的电力,加快硬件老化速度 。
▶ 安全风险:挖矿木马可能会使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失。
挖矿木马-实战(排查)
(1)事件概述.
接到某司客户应急响应请求:客户服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直跑满的】
| 了解现状 | 了解发病时间 | 了解系统结构 | 了解网络结构 |
| 主机一直卡,CPU一直跑满 | 05:51 | Linux 系统 系统. | 外网 / 内网 |
| 主机一直卡,CPU一直跑满 | 06:30 | Linux 系统 系统. | 内网 |
| 主机一直卡,CPU一直跑满 | 06:57 | Linux 系统 系统. | 内网 |
(2)确认攻击的范围.(有多少主机被攻击了)
到客户现场发现有服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直满的】
| 主机名 | IP | 感染的情况 | 传播手段 |
| 服务器 | 192.168.1.106 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.109 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.120 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
消除木马:
(1)查看 CPU 的运行情况,是否存在挖矿木马.
top # 查看 CPU 的运行情况.
(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)
find / -name xmrig # 文件名在 CPU 运行满的最后面.find / -name 文件名
(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)
上传 样本 进行分析,也可以根据里面的 域名 或者 IP地址 进行分析.
https://x.threatbook.com/ # 微步在线https://www.virustotal.com/gui/ # VirusTotal(上传文件,检查木马)https://ti.360.net/#/homepage # 360威胁平台https://ti.nsfocus.com/ # 绿盟威胁情报平台https://ti.dbappsecurity.com.cn/ # 安恒威胁情报平台
怎么 分析IP 地址呢!(可以查看网络连接找到IP地址的.)
其他所以排查方法:
(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)
kill 5157 # 关闭这个进程.kill 进程数(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)
(6)排查 定时任务.
定时定点执行Linux程序或脚本.
crontab -e # 用来创建定时任务.crontab -l # 查看有多少个任务.
定时保存的路径有以下几个.
vi /var/spool/cron/ # 目录里的任务以用户命名.
vi /etc/crontab # 调度管理维护任务.(排查里面有没有新的添加)
vi /etc/cron.d/ # 这个目录用来存放任何要执行的crontab文件或脚本(排查有没有新的添加文件 再和运维核对 进行排查)
vi /etc/cron.hourly # 每小时执行一次vi /etc/cron.daily # 每天执行一次vi /etc/cron.weekly # 每周执行一次vi /etc/cron.monthly # 每月执行一次(7)如果还有,可以排查开机启动项.
其他所以排查方法:应急响应:Linux 入侵排查思路.
日志分析:(随便排查出系统存在的其他隐患)
先 Web 的日志(看看是不是上传了木马),系统的日志.(看看是不是被爆破了)
(1)排查 是否存在后门.(Web网站)
使用河马的扫描工具(扫描后门木马)
chmod +x hm # 添加权限./hm scan /var/www/html./hm scan 指定的扫描路径.
(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.
(3)排查完进行删除所以木马文件.
日志存在:
(1)确定攻击时间.
就是后门的上传时间,在日志中找这个后门木马的文件名.(比如上面的:.bgxg.php)
(2)确定攻击特征.
文件上传.
(3)确定特征文件.
就是后门木马文件.
(4)确定攻击者IP
(5)攻击复现.
在日志中 找到木马的路径,进行测试就行.
日志不存在:
(1)黑盒测试.(对 Web 网站进行渗透测试.)
(2)查看系统服务是否存在弱口令(Redis,ssh等)
漏洞修复:
(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.
(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.
(3)定期给主机打补丁.
学习链接:第164天:应急响应-挖矿脚本检测指南