设为首页  |  加入收藏  |  网站地图
 
  信息动态
当前位置: 首页->信息动态->正文

木马来袭,今天你被“挖矿”了吗?

时间:2022年05月10日    来源:知道创宇    作者:    

随着国家对比特币的禁止,比特币售价也大幅度降低,这可让矿工们伤透了心,知道创宇安服团队本以为挖矿木马也会随之减少,但是近来我们却发现挖矿木马有了增加的趋势。这不,没多久我们就遇到了此类挖矿木马,借此机会,给各位介绍一下我们对此类事件的处理过程。

某次,我们在客户服务器里的crontab计划任务中,发现黑客留下的脚本i.sh,此脚本有以下几个特点:

  1. 每隔5分钟执行一次

  2. 自动添加计划任务

  3. 检查木马文件是否存在

  4. 检查发现不存在木马文件就会自行远程下载并执行

在此脚本中,我们发现一个名为ddg.x86_64的木马病毒,通过分析此木马发现它的行为较为复杂,不仅会开启挖矿程序,还会发起对内网的弱密码扫描等其他行为。

我们通过日志查找脚本第一次运行时间,根据计划任务日志的记录,判断黑客获取服务器权限的时间,通过对登录日志进行检查,发现对应时间的登录日志已被删除...

于是,我们停止了crond(可以定期来执行系统任务),木马不再启动,但发现crontab(用于设置周期性被执行的指令)中的内容无法修改,并且删除黑客所创建的计划任务之后,计划任务仍会被添加,我们怀疑crontabs执行文件或配置文件已经被修改,通过查看日志,发现dump.rdb文件被计划任务加载后,开始出现黑客的计划任务。此时,我们全盘搜索dump.rdb文件,发现dump.rdb不正常的文件居然有三个,分别位于不同目录下,并且这三个文件中都包含黑客的脚本。

清除完所有与计划任务有关的黑客脚本后,重启了crond服务,发现计划任务居然还会出现,我们随后又一次停止了crond服务,删除计划任务,静静等待文件发生变化。我们发现当文件被重新创建的时候,redis数据库的dump.rdp文件被添加了黑客的脚本。 我们就查看了redis配置,发现redis配置中多出一项,判断得出是黑客留下的命令。终于找到你啦!

▲ 黑客指令

现在可以确定黑客通过修改redis配置,将数据库导出路径设置到/var/spool/cron/中,并将名称修改为root,便成为了一个可以当作计划任务执行的文件,分析判断黑客是使用redis未授权访问获取服务器控制权限。最后,我们测试发现redis服务居然不用密码远程登录。你当初设置个密码不就没那么多事了吗!

既然咱们已经发现了问题的源头,那我们就可以大刀阔斧的干活了。首先,我们删除了黑客写入的ssh authorized_keys,踢出目前所有已登陆用户,重新登录,随后停止crond服务,将黑客留下的crontab任务删除。同时删除黑客遗留下来的redis配置,将redis配置还原到正常状态。最后,删除木马,结束所有木马进程,为redis服务设置密码。我!搞定!打钱!

今天介绍的这个事件是一个利用Redis未授权访问漏洞的挖矿病毒事件,为了防止各位中此类招数,特地给大家提供以下防护建议:

  1. 根据redis提供服务的需求,如果不需要外网访问,则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379,如要其他内网机器访问,则设置为本地内网的IP,比如192.168.1.122:6379。

  2. 设置redis访问口令,命令如下:requirepass 密码串。建议设置密码要强悍,不要设置成 弱口令,因为redis允许长时间扫描,设置密码字符串长点,最好14位以上,记不住没有关系,因为密码在配置文件redis.conf中是明文保存的可随时查看。 比如requirepass 1qaz2wsx1234567890redis-=!@#ABC

  3. 如有必要,对redis的访问端口进行修改。

  4. 如有必要,利用防火墙对redis的访问IP进行限制。

  5. 如无必要,不要以root权限运行redis。Windows系统下不要以system权限运行。

电脑被植入挖矿木马的表现:

  1. 电脑操作会明显卡慢

  2. 散热风扇狂转

  3. 耗电量增加

  4. 显卡、CPU等硬件损耗加巨


来自:知道创宇云安全