记一次“XMR门罗币挖矿木马病毒”处置

这篇具有很好参考价值的文章主要介绍了记一次“XMR门罗币挖矿木马病毒”处置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、背景概述

故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
市面上存在很多关于XMR门罗币挖矿的教程,这些教程可能会被攻击者恶意利用来进行盈利。他们通过前期使用非法手段获取服务器的控制权限,并在服务器上部署XMR门罗币挖矿木马脚本。一旦攻击者成功部署了挖矿木马脚本,会通过设置SSH公钥后门登录和计划任务启动项等方式,维持对服务器的控制权限,并利用自启动脚本进行挖矿持续从中获利。
下面是应急排查分析。
首先留图一张,简单了解一下XMR门罗币挖矿木马
记一次“XMR门罗币挖矿木马病毒”处置

二、初步排查

1.如图下可以看到,CPU进程直线拉满,CPU已经占满200%,用top命令查看,CPU状态显示xmrig,这里最明显的特征就是xmrig命令,这也是qiao哥为什么一眼看出是XMR挖矿木马的原因!!!,在此次排查中一系列常规排查思路不一一展现,只突出重点步骤。
记一次“XMR门罗币挖矿木马病毒”处置 2.使用ps -aux | grep xmrig 查看进程运行命令,可以看到xmrig的执行命令
记一次“XMR门罗币挖矿木马病毒”处置

 ./xmrig --coin=monero -o pool.supportxmr.com:3333 -u 89zqe5wQCDsML1xyYx7GxqDqR3DAizK6cXRsd7rXLLmyRCHaTFe6cDJA

xmrig命令如下
-o 矿池地址:端口号 地址(pool.supportxmr.com:3333)
-u 钱包地址 攻击者的获利钱包地址 (89zqe5wQCDsML1xyYx7GxqDqR3DAizK6cXRsd7rXLLmyRCHaTFe6cDJA)
3.使用 ls -l /proc/643961/exe 命令,根据进程PID查看可执行程序
记一次“XMR门罗币挖矿木马病毒”处置 4.使用lsof -p 643961根据PID查看进程所占用的文件
记一次“XMR门罗币挖矿木马病毒”处置 5.我们先尝试执行杀掉进程 kill -9 643961,发现进程在掉线后,依旧存活,疑似存在定时计划任务。
记一次“XMR门罗币挖矿木马病毒”处置 6.排查定时计划任务并未发现什么,最后经过一些列排查发现docker容器内排查出问题,发现多了个容器
pmietlicki/monero-miner容器是一个用于挖掘Monero(一种加密货币)的Docker容器,其中包含了用于挖矿Monero的软件和配置文件。通过运行该容器,可以快速启动Monero挖矿进程进行挖矿。
记一次“XMR门罗币挖矿木马病毒”处置 7.使用docker stop 停止该容器,后再使用top命令发现,cpu速率已回归正常
记一次“XMR门罗币挖矿木马病毒”处置记一次“XMR门罗币挖矿木马病毒”处置 在使用docker命令查找到镜像删除即可,由于我通过命令“find / -name xmrig 查找删除xmrig部分容器样本,会出现一下报错,并不影响后续,挖矿应急初步排查阶段到此为止
记一次“XMR门罗币挖矿木马病毒”处置

三、样本分析

通过命令“find / -name xmrig “全局搜索这个恶意样本存储在哪个目录,最后在目录下发现了它
记一次“XMR门罗币挖矿木马病毒”处置如下图所示,浏览整个目录,发现都是恶意样本相关的文件,于是将其打包下载到本地进行分析
记一次“XMR门罗币挖矿木马病毒”处置对该目录的子目录和文件进行分析,得到以下信息:

#!/bin/bash
algoMode=$1
poolUrl=$2
poolUser=$3
poolPW=$4
maxCpu=$5
useScheduler=$6 # true / false
startTime=$7 #e.g. 1530 or 1100 for time
stopTime=$8 #e.g. 1530 or 1100 for time
days=$9 #e.g. "Tuesday,Friday"
options=${10}
miner="./xmrig"
if [ "$maxCpu" != "100" ] && [ "$maxCpu" != "50" ] && [ "$maxCpu" != "25" ] && [ "$maxCpu" != "12.5" ] && [ "$maxCpu" != "6.25" ] ; then
    echo "maxCpu is not valid"; exit;
fi;
if [ "$useScheduler" != "true" ] && [ "$useScheduler" != "false" ]; then
    echo "useScheduler is not valid, use true or false"; exit;
fi;
if ! [[ ${poolUrl} =~ .+\.[a-z]+\:[0-9]+ ]]; then
    echo "The URL Format seams not right."; exit;
fi;
if [ "$useScheduler" == "true" ]; then
        if [ ${#startTime} -ne 4 ]; then
                echo "startTime is not in a valid format"; exit;
        fi;
        if [[ ${startTime} =~ [A-Za-z_\;\:\.]+ ]]; then
            echo "startTime can only contain digits"; exit;
        fi;
        if [ ${#stopTime} -ne 4 ]; then
                echo "stopTime is not in a valid fromat"; exit;
        fi;
        if [[ ${stopTime} =~ [A-Za-z_\;\:\.]+ ]]; then
            echo "stoptimeTime can only contain digits"; exit;
        fi;
        IFS=',' read -r -a dayArray <<< "$days"
        for day in "${dayArray[@]}"
    do
        if [ "${day,,}" != "monday" ] && [ "${day,,}" != "tuesday" ] && [ "${day,,}" != "wednesday" ] && [ "${day,,}" != "thursday" ] && [ "${day,,}" != "friday" ] && [ "${day,,}" != "saturday" ]  && [ "${day,,}" != "sunday" ]; then
                echo "Days are not formated correctley."; exit;
        fi;
    done
        # wait for starttime
        echo "================================================================";
        echo "Cryptonote mining container based on xmrig";
        echo "with task scheduling mod by MasterRoshi";
        echo  "";
        echo "Scheduler information";
        echo "At: $startTime - $stopTime GMT+0";
        echo "On: $days";
        echo "================================================================";
        echo "Waiting for the next work schedule....";
        while { printf -v current_day '%(%A)T' -1 && [[ ${days,,} != *"${current_day,,}"* ]]; } || { printf -v current_time '%(%H%M)T' -1 && [[ ${current_time} != ${startTime} ]]; }; do
                sleep 10;
        done;
        echo "Time to work, miner is signing-on!";
        # run xmrig as background
        $miner --coin="$algoMode" -o "$poolUrl" -u "$poolUser" -p "$poolPW" --max-cpu-usage="$maxCpu" "${options:---donate-level=3 -k}" &
        while printf -v current_time '%(%H%M)T' -1 && [[ $current_time != $stopTime ]]; do
                sleep 10;
        done;
        # end the xmring when the stoptime is reached
        pkill xmrig;
        echo "Miner signing-off and preparing for  the next work schedule!";
        "$0" "$algoMode" "$poolUrl" "$poolUser" "$poolPW" "$maxCpu" "$useScheduler" "$startTime" "$stopTime" "$days" "${options:---donate-level=3 -k}";
        exit;
else
         $miner --coin="$algoMode" -o "$poolUrl" -u "$poolUser" -p "$poolPW" --max-cpu-usage="$maxCpu" "${options:---donate-level=3 -k}";
fi;

以上经过分析得知,这个是基于xmrig的加密货币挖矿脚本,可以在Linux系统上运行。以下是它的一些参数:

  • algoMode:要挖掘的加密货币算法。
  • poolUrl:矿池的URL地址。
  • poolUser:矿工的用户名。
  • poolPW:矿工的密码。
  • maxCpu:矿工使用的最大CPU百分比。
  • useScheduler:是否启用任务调度模式(true/false)。
  • startTime:如果启用了任务调度模式,则开始时间(24小时制)。
  • stopTime:如果启用了任务调度模式,则结束时间(24小时制)。
  • days:如果启用了任务调度模式,则应该在哪些日期运行(星期几)。
  • options:其他选项。

如果useScheduler被设置为true,脚本将等到指定的开始时间和日期然后启动xmrig并在指定的停止时间停止。
如果useScheduler被设置为false,脚本将直接启动xmrig并运行

四、处置与防御建议

XMR挖矿木马是指恶意软件,它利用受感染的计算机的计算资源来挖掘Monero(XMR)加密货币,而不经过用户的明确许可。以下是修复和防御XMR挖矿木马的一些常见手段:

  1. 及时更新和升级系统:保持操作系统、应用程序和安全补丁的最新版本,以减少已知漏洞的风险。
  2. 安装可信的安全软件:使用强大的杀毒软件、反恶意软件和防火墙等安全工具,定期进行全面扫描和实时保护。
  3. 谨慎下载和安装软件:只从官方和可信的来源下载软件,并在安装过程中仔细阅读和审查相关权限和选项。
  4. 强化远程访问安全:关闭或限制不必要的远程访问服务,如远程桌面协议(RDP),并使用强密码和多因素身份验证来保护远程访问。
  5. 监控系统活动:监控系统日志、网络流量和进程活动,及时发现异常行为和不寻常的计算资源使用情况。
  6. 防止未经授权的挖矿脚本运行:使用浏览器插件或脚本阻止工具,如NoScript、AdBlock Plus等,防止恶意网站在浏览器中运行挖矿脚本。
  7. 加强网络安全:使用强密码、定期更改密码,启用网络防火墙,限制对敏感端口和服务的访问。
  8. 定期备份数据:定期备份重要数据,并将其存储在离线和安全的位置,以防止数据丢失或被勒索软件加密。
  9. 教育员工和用户:提供安全意识培训,教育员工和用户如何识别和避免恶意软件的风险。
  10. 及时响应和隔离感染:如果发现系统受到XMR挖矿木马感染,立即断开与网络的连接,并寻求专业的技术支持来清除和修复受感染的系统。

请注意,这些措施可以提高系统的安全性,但没有绝对的安全保障。因此,持续的安全意识和定期的安全审查是至关重要的,以确保系统和数据的安全。文章来源地址https://www.toymoban.com/news/detail-855155.html

到了这里,关于记一次“XMR门罗币挖矿木马病毒”处置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 挖矿病毒常见处置方法

    挖矿病毒特征: “挖矿”病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命

    2024年02月13日
    浏览(38)
  • Wannamine家族挖矿病毒处置

    wannamine挖矿病毒主要通过入侵计算机来挖取门罗币,对于它的处置建议则是: 1.首先断开受感染机器的网络连接,实行网络隔离。 2.禁用随开机启动的恶意服务,一般服务名是由三个字符串列表随机组成: Windows、Microsoft、Network、Remote、Function、Secure、Application、Update、Time、

    2024年02月13日
    浏览(45)
  • 记一次阿里云被挖矿处理记录

    摘要 莫名其妙的服务器就被攻击了,又被薅了羊毛,当做免费的挖矿劳动力了。 上班(摸鱼)好好的,突然收到一条阿里云的推送短信,不看不知道,两台服务器被拉去作为苦力,挖矿去了。这不是耽误我摸鱼吗,再说你挖到的矿币又不带我分,岂能忍。本着对公司负责任

    2024年02月13日
    浏览(57)
  • 记一次服务器被挖矿的处理解决

    docker最近总是莫名其妙的下载镜像启动容器,且并没有其他镜像是需要下载ubuntu作为底层包的。有意思的是每隔两个小时左右启动一个容器,没有将cpu资源完全消耗,保持可用。 开始排查 命令查看陌生容器的日志 docker logs -f containerId ,发现典型kinsing挖矿病毒 ! last 命令查看

    2024年02月20日
    浏览(52)
  • 记一次linux复制病毒处理过程

    某天我的阿里云突然发信息告诉我服务器有自变异木马,我用远程工具连接服务器异常卡顿甚至掉线,reboot也不好使.用阿里云的网页控制台会好些,但还是卡,我又用阿里云控制台重启服务器,重启之后发现服务器完全连不上了,ping也ping不通了,我问了客服说可以用救援连接试试,果

    2024年01月24日
    浏览(64)
  • 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同时,通过任务管理器,发现windows临时文件夹中也有该程序 通过测试可知F.exe为勒索病毒程

    2024年02月06日
    浏览(42)
  • 区块链基础知识7-比特币挖矿原理/工作量证明

    在前面《区块链基础知识6-区块链记账原理》我们了解到记账是把交易记录、交易时间、账本序号、上一个Hash值等信息计算Hash打包的过程。 我们知道所有的计算和存贮是需要消耗计算机资源的,既然要付出成本,那节点为什么还要参与记账呢?在中本聪(比特币之父)的设

    2024年04月28日
    浏览(50)
  • DarkKomet病毒研究与处置

    DarkKomet 是一类后门木马程序的总称,主要功能主要是对用户行为进行监控,并为攻击者开启系统后门,窃取用户信息,该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者

    2024年02月11日
    浏览(42)
  • 麻辣香锅病毒处置

    “麻辣香锅“病毒由于其早期版本病毒模块所在目录为” Mlxg_km “因此得名,该病毒通过小马激活,暴风激活,KMS激活等激活工具进行传播,用户中毒后首页会被劫持到病毒作者预设的跳转链接 病毒恶意行为流程图,如下图所示: wrme.exe模块会启动执行模块wuhost.exe和wdlogin

    2023年04月08日
    浏览(48)
  • 挖矿病毒应急响应思路,挖矿病毒事件处理步骤

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 比特币系统每隔一段时间就会在节点上生成一个 「随机代码」 ,互联网中的所有设备都可以寻找这个代

    2024年02月10日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包