Что такое майнинг-троян?
Трояны-майнеры будут занимать ЦП для операций разгона, тем самым занимая большой объем ресурсов ЦП на хосте, серьезно влияя на нормальную работу других приложений на сервере. Чтобы получить больше вычислительных ресурсов, хакеры обычно сканируют всю сеть без разбора и в то же время используют SSH-взрыв и эксплуатацию уязвимостей для атак на хосты. Некоторые трояны-майнеры также имеют характеристики червей. После успешного проникновения на хост трояны-майнеры проникают в интрасеть и сохраняются на зараженном сервере, чтобы получить максимальную выгоду. Общий процесс атаки примерно такой, как показано на рисунке ниже:
Трояны-майнеры будут использовать вычислительную мощность хоста для майнинга без ведома пользователя. Наиболее очевидной особенностью является то, что процессор хоста потребляется в больших количествах. Есть два способа проверить загрузку процессора облачного хоста.
Как показано на рисунке ниже, выполнив команду top, вы можете увидеть загрузку ЦП системы в тот момент в возвращаемых результатах.
top -c
Если загрузка ЦП вашего хоста остается высокой, весьма вероятно, что на хост внедрен троян-майнер, который повлияет на нормальную работу других приложений на сервере и требует немедленной проверки.
После того, как некоторые майнинговые трояны с функциями червя получат контроль над хостом, они продолжат проникать на другие хосты в общедоступной сети или использовать текущий хост в качестве плацдарма для бокового проникновения на другие хосты в той же локальной сети. хост был установлен. После внедрения трояна-майнера зараженный хост следует своевременно изолировать, не влияя на нормальную работу бизнеса, а затем следует выполнить следующий этап анализа и удаления.
Хосты Tencent Cloud могут изолировать хосты, устанавливая группы безопасности.,Пожалуйста, обратитесь к следующей ссылке для получения подробной информации.:https://cloud.tencent.com/document/product/215/20089
Троянец-майнер не только подключается к майнинговому пулу, но также может подключаться к C2-серверу хакера, получать и выполнять инструкции C2, а также доставлять другие вредоносные трояны, поэтому сеть необходимо вовремя блокировать.
(1) Проверьте, есть ли подозрительные адреса и порты за пределами бизнес-сферы в действующих на данный момент правилах iptables брандмауэра хоста. Это могут быть пулы майнинга или адреса C2 майнинговых троянов.
iptables -L -n
(2) Очистите подозрительные адреса и порты из правил iptables.
vi /etc/sysconfig/iptables
(3) Блокировать сетевое взаимодействие троянов-майнеров.
iptables -A INPUT -s Подозрительный адрес -j DROP
iptables -A OUTPUT -d Подозрительный адрес -j DROP
Большинство троянов-майнеров сохраняют свою устойчивость, записывая запланированные задачи на зараженный хост. Если вы просто очистите процесс майнинга, его невозможно будет уничтожить. В заданный момент времени система будет использовать запланированные задачи для удаления трояна с сервера C2 хакера. Загрузите и снова запустите трояна-майнера.
Обычной запланированной задачей майнинга троянов является загрузка и выполнение sh-скриптов, как показано на следующем рисунке:
Вы можете проверить наличие подозрительных запланированных задач, выполнив следующую команду. Если да, сохраните соответствующие записи для последующего анализа перед их удалением:
Просмотр запланированных задач текущего пользователя системы:
crontab -l
Просмотр запланированных задач для конкретного пользователя в системе:
crontab -u username -l
Просмотрите другие файлы запланированных задач:
cat /etc/crontab
cat /var/spool/cron
cat /etc/anacrontab
cat /etc/cron.d/
cat /etc/cron.daily/
cat /etc/cron.hourly/
cat /etc/cron.weekly/
cat /etc/cron.monthly/
cat /var/spool/cron/
Помимо запланированных задач, трояны-майнеры также могут обеспечить постоянство, добавляя элементы автозагрузки. Вы можете использовать следующую команду, чтобы проверить, есть ли в элементах автозагрузки аномальные службы запуска.
CentOS7 и более ранние версии:
chkconfig –list
CentOS7 и более поздние версии:
systemctl list-unit-files
Если обнаружены вредоносные элементы автозагрузки, закрыть их можно следующей командой:
CentOS7 и более ранние версии:
chkconfig Название службы off
CentOS7 и более поздние версии:
systemctl disable Название службы
Кроме того, необходимо внимательно проверять следующие каталоги и файлы и вовремя удалять подозрительные элементы автозагрузки:
/usr/lib/systemd/system
/usr/lib/systemd/system/multi-user.target.wants
/etc/rc.local
/etc/inittab
/etc/rc0.d/
/etc/rc1.d/
/etc/rc2.d/
/etc/rc3.d/
/etc/rc4.d/
/etc/rc5.d/
/etc/rc6.d/
/etc/rc.d/
При устранении неполадок вы можете сортировать файлы по времени изменения и сосредоточиться на недавно созданных элементах обслуживания. Как показано на рисунке ниже, недавно в системе была создана служба с именем bot.service. Эта служба запустит файл трояна /etc/kinsing при запуске системы. Вам необходимо закрыть службу бота и удалить файл /etc/. файл кининга.
Настроив /etc/ld.so.preload, вы можете настроить библиотеку динамической компоновки, которая загружается первой перед запуском программы. Некоторые трояны изменяют этот файл и добавляют вредоносные файлы so для выполнения вредоносных функций, таких как сокрытие процесса майнинга.
Проверьте /etc/ld.so.preload (по умолчанию этот файл пуст),Очистить ненормальные библиотеки динамической компоновки。Может быть выполнено`> /etc/ld.so.preload` для очистки.
Троянские программы для майнинга обычно также записывают открытый ключ SSH хакера в файл ~/.ssh/authoruzed_keys. Таким образом, даже если пользователь полностью очистит троян для майнинга, хакер все равно сможет войти на хост без пароля. общий. Средство сохранения контроля над сервером.
Проверьте файл ~/.ssh/authorized_keys. Если обнаружен подозрительный открытый ключ SSH, удалите его напрямую.
Самая большая особенность трояна-майнера заключается в том, что он будет использовать вычислительную мощность хоста для майнинга без ведома пользователя, тем самым потребляя большое количество ресурсов ЦП хоста. Поэтому запустите следующую команду, чтобы проверить процессы, занимающие компьютер. большое количество ресурсов процессора в системе.
top -c
ps -ef
Убедившись, что соответствующий процесс является процессом майнинга, выполните следующие действия, чтобы очистить его:
Получите и запишите путь к файлу процесса майнинга:
ls -l /proc/$PID/exe
Убейте процесс майнинга:
kill -9 $PID
Удалите файлы, соответствующие процессу майнинга.
Когда вредоносные процессы взаимодействуют с внешними серверами C2, они часто открывают порты для мониторинга. Выполните следующую команду, чтобы проверить, отслеживаются ли какие-либо несанкционированные порты на сервере.
netstat -antp
Если существуют несанкционированные процессы, выполните следующие действия, чтобы очистить их:
Получите и зарегистрируйте пути к файлам неавторизованных процессов:
ls -l /proc/$PID/exe
Уничтожьте неавторизованные процессы:
kill -9 $PID
Удалить файлы, соответствующие неавторизованным процессам
Вы также можете использовать следующую команду для проверки недавно добавленных файлов и удаления связанных троянов.
find /etc -ctime -2 (Здесь указан каталог /etc для получения новых файлов за последние 2 дня)
lsof -c kinsing (Здесь вам необходимо просмотреть соответствующую информацию о процессе файла с именем kinsing)
Проведите расследование рисков и укрепите безопасность системы, чтобы избежать повторного использования троянских программ-майнеров. Подробную информацию можно найти по следующей ссылке: https://cloud.tencent.com/document/product/296/9604.
Многие пользователи сообщают, что троян для майнинга всегда нечист. Очевидно, он остановил процесс и удалил троянский файл. Через некоторое время загрузка ЦП снова увеличилась. Основная причина в том, что удаление недостаточно тщательное. Большинство пользователей просто завершают процесс майнинга и соответствующие файлы, но не очищают запланированные задачи и процессы демона.
Обычно рекомендуется сначала очистить запланированные задачи, элементы автозагрузки и процессы демона, а затем удалить процессы майнинга и другие вредоносные процессы.
Как показано на рисунке ниже, неизвестный процесс кининга прослушивает локальный порт 31458, что очень подозрительно и может быть определено следующим методом:
(1)осуществлять`ls -al /proc/$PID/exe`Подтвердите файлы, соответствующие подозрительному процессу.;
(2) Если файл не был удален,Затем загрузите файл непосредственно в Virustotal для обнаружения.,Или вычислить md5, соответствующий файлу,Используйте md5, чтобы запросить Virustotal, был ли файл удален;,可осуществлять`cat /proc/$PID/exe > /tmp/t.bin`обработаюdumpв конкретный каталог,Затем загрузите файл в Virustotal или вычислите md5, соответствующий файлу дампа, и запросите его в Virustotal. Если несколько антивирусных механизмов обнаруживают его одновременно,По сути, можно определить, что процесс является вредоносным процессом.
Virustotalадрес:https://www.virustotal.com/gui/s
Как показано на рисунке ниже, загрузка ЦП системы близка к 100%, но вы не можете увидеть, какой процесс ее вызывает. Обычно такая ситуация возникает из-за того, что системные команды были подделаны троянами, что скрывает следы троянских процессов. и делает невозможным для пользователей проведение анализа отслеживания.
Существует множество способов подделать команды, а именно:
(1) Исходный файл верхнего уровня подделывается, а информация о вредоносном процессе фильтруется и возвращается.
Восстановить его можно, выполнив следующую команду:
rm -rf /usr/bin/top && mv /usr/bin/top.original /usr/bin/top
【Похожие статьи】https://blog.csdn.net/chenmozhe22/article/details/112578057
(2) Вмешательство в предварительно загруженный файл so. Такие команды, как ls, top и ps, были захвачены библиотекой динамической компоновки троянца, и информацию, связанную с троянским процессом, получить невозможно.
Восстановить его можно, выполнив следующую команду:
> /etc/ld.so.preload && rm -rf Вредоносный путь к файлу
[Статьи по теме] https://cloud.tencent.com/developer/article/1744547
(3) Вмешательство в системные команды другими неизвестными способами.
Вы можете попробовать следующие два решения соответственно:
i. Скопируйте исходный файл команды из других систем той же версии в текущую систему для перезаписи. Вы можете использовать команду uname -a для просмотра текущей версии системы;
ii Или установите busybox для устранения неполадок в системе. busybox — это программное обеспечение, объединяющее более 300 наиболее часто используемых команд и инструментов Linux. Вы можете использовать busybox для замены системных команд для устранения неполадок в системе;
yum -y install wget make gcc perl glibc-static ncurses-devel libgcrypt-devel
wget http://busybox.net/downloads/busybox-1.33.0.tar.bz2
tar -jxvf busybox-1.33.0.tar.bz2
cd busybox-1.33.0 && make && make install
[Статьи по теме] https://www.cnblogs.com/angryprogrammer/p/13456681.html
Постоянное обновление...