freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

warmup挖矿排查处置手册
  • 关注
warmup挖矿排查处置手册
2023-08-29 22:07:39

本次排查处理仅适用于 linux 系统。

上周帮客户处理清除挖矿木马,特此记录。

木马脚本地址 :

http://5.133.65.53/soft/linux/somescript

之前hw有过类似案例,建议全面封禁该C段:5.133.65.1/24,并排查对应linux服务器是否有外连,尤其政务外网,各省需要注意。

一、排查要点及注意事项

针对挖矿木马排查,主要针对的是进程信息,网络连接,CPU 及内存占用,文件,计划任务,开机自启动。

挖矿关键字:xrmig,warmup,ximetd(端口监听程序),nc(端口监听,黑客工具)。

小贴士:

对应更细节命令可查看 linux 命令大全:https://www.linuxcool.com/

查询可疑恶意 IP 或链接(仅限互联网):https://x.threatbook.com/

二、排查流程

1. 是否存在挖矿程序

查看是否有挖矿脚本程序,如果有输出则说明挖矿程序被植入。

find / -type f -name "somescript"

查看磁盘是否有 warmup 该程序,如果有输出则说明挖矿程序被植入。

find / -name warmup

2. 是否存在挖矿进程

查看所有进程信息,若存在关键字信息说明存在挖矿

ps -ef

3. 是否有外连 IP 及对应程序

发现如下命令如有外连 IP5.133.65.53及其 c 段地址,则说明挖矿程序正在运行。

netstat -tnap

4. 是否挖矿程序占用大量 CPU 或内存

如果存在挖矿程序,CPU 或内存中会占比较大,本次 warmup 占用内存 50% 左右

top

5. 是否存在挖矿计划任务命令

如果存在计划任务,将带恶意挖矿命令及运行挖框脚本的计划任务进行删除。

查看当前用户的已有计划任务列表:

crontab -l

编辑管理计划任务,可进行删除修改

crontab -e

6. 是否存在开机启动项

如果存在 ximetd 有 on 选项,需要将其关闭,设置为off

chkconfig

三、处置流程

1. 执行脚本

执行前如有需要分析可将样本保存再执行命令

创建脚本文件

touch clean.sh

打开并写入脚本

vi clean.sh

脚本一(存在 systemctl 命令):

#!/bin/bash

# 停止warmup服务
systemctl stop warmup
systemctl disable warmup
systemctl daemon-reload
# 删除文件和目录
rm -rf /etc/alternatives/.warmup
rm -rf /etc/alternatives/.warmup/warmup
rm -rf /etc/systemd/system/warmup.service
rm -rf /root/.warmup
rm -rf /root/.warmup/warmup
# 删除文件和目录
rm -rf /etc/xtab/somescript
rm -rf /etc/cron.hourly/somescript
rm -rf /etc/cron.hourly/.somescript
rm -rf /etc/xtab
# 删除目录及其内容
rm -rf /etc/init.d/modules
rm -rf /etc/rc.d/init.d/modules
# 关闭xinetd
systemctl stop xinetd
systemctl disable xinetd

脚本一(不存在 systemctl 命令):

#!binbash

# 停止warmup服务
service warmup stop
chkconfig warmup off
# 删除文件和目录
rm -rf /etc/alternatives/.warmup
rm -rf /etc/alternatives/.warmup/warmup
rm -rf /etc/systemd/system/warmup.service
rm -rf /root/.warmup
rm -rf /root/.warmup/warmup
# 删除文件和目录
rm -rf /etc/xtab/somescript
rm -rf /etc/cron.hourly/somescript
rm -rf /etc/cron.hourly/.somescript
rm -rf /etc/xtab
# 删除目录及其内容
rm -rf /etc/init.d/modules
rm -rf /etc/rc.d/init.d/modules
# 关闭xinetd
service xinetd stop
chkconfig xinetd off

给文件执行权限并执行

chmod +x clean.sh
./clean.sh

2. 检查进程

重复排查所执行的命令确保无异常即可。

四、特殊情况

如果存在 nc 进程及外连可进行如下操作:

关闭所有连带 nc 的进程

pkill -f nc

找到 nc 并删除

find / -name nc

rm -rf nc的路径
# 门罗币挖矿木马 # 挖矿排查
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
一、排查要点及注意事项
    二、排查流程
    • 1. 是否存在挖矿程序
    • 2. 是否存在挖矿进程
    • 3. 是否有外连 IP 及对应程序
    • 4. 是否挖矿程序占用大量 CPU 或内存
    • 5. 是否存在挖矿计划任务命令
    • 6. 是否存在开机启动项
    三、处置流程
    • 1. 执行脚本
    • 2. 检查进程
    四、特殊情况