Linux挖矿木马怎么解决-数据安全-互联网-天达云

Linux挖矿木马怎么解决
更新：HHH 时间：2023-1-7

本篇内容介绍了“Linux挖矿木马怎么解决”的有关知识，在实际案例的操作过程中，不少人都会遇到这样的困境，接下来就让小编带领大家学习一下如何处理这些情况吧！希望大家仔细阅读，能够学有所成！

一、事件背景

最近接到客户反馈，发现Linux机器卡顿，CPU使用量超标高达90%以上，怀疑被挖矿，深信服EDR安全团队第一时间进行了应急处理，并发现该挖矿木马为一款新型的Linux挖矿木马，并对此样本进行了深入的研究分析。

二、样本分析

1.对一系列矿池地址进行DNS查询请求，如下：

相应的矿池地址列表如下：

pool.minexmr.com,xmr-eu1.nanopool.org,xmr-eu2.nanopool.org
xmr-us-east1.nanopool.org,xmr-us-west1.nanopool.org,xmr-asia1.nanopool.org
xmr-jp1.nanopool.org,xmr-au1.nanopool.org,xmr.crypto-pool.fr
fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com
pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com
xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com
xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com
pool.monero.hashvault.pro、gulf.moneroocean.stream
us-east.cryptonight-hub.miningpoolhub.com
europe.cryptonight-hub.miningpoolhub.com
asia.cryptonight-hub.miningpoolhub.com

2.通过chattr -i删除掉文件保护属性，重新感染主机系统，如下：

3.通过进程/proc/[进程ID]/exe，获取文件的路径，如下：

4.在内存中拼接字符串，如下所示：

相应的命令行如下：

5.运行/bin/sh执行之前拼接出来的命令，复制自身，添加相应的自启动项，进行持久化操作，如下所示：

相应的反汇编代码如下：

6.通过rm -f进行自删除操作，如下：

7.修改resolv.conf配置文件，如下：

相应的反汇编代码如下：

修改之后的resolv.conf文件如下：

8.修改crontab定时任务文件，如下：

相应的反汇编代码，如下：

9.修改之后的定时文件内容，如下：

10.判断是否可以读取如下文件，如下：

11.修改原系统中的top程序，如下：

将内存中的数据，写入新生成的top程序，如下：

12.修改复制后的文件保护属生，如下：

13.生成临时记录文件mmlog，如下：

14.设置系统内存属性等，如下：

15.干掉其它网络请求程序，如下：

16.干掉其它挖矿进程，如下：

通过/bin/sh执行如下命令：

17.启动新的挖矿进程，然后进行挖矿操作，挖矿的进程名从列表中随机选取，如下：

随机进程列表如下：

[aio][async][ata][ata_aux][bdi-default][cpuset][crypto][ecryptfs-kthrea]
[events][ext4-dio-unwrit][flush-251:0][flush-8:0][jbd2][kacpi_hotplug]
[kacpi_notify][kacpid][kblockd][kconservative][kdmflush][khelper][khubd]
[khungtaskd][kintegrityd][kmmcd][kmpath_handlerd][kmpathd][kondemand]
[kpsmoused][kseriod][ksmd][ksnapd][ksoftirqd][kstriped][ksuspend_usbd]
[kswapd0][kswapd1][kthreadd][migration][netns][pm][scsi_eh_0][sync_supers]
[usbhid_resumer][watchdog][xfs_mru_cache][xfsaild][xfsbufd][xfsconvertd]
[xfsdatad][xfslogd][xfssyncd]

18.内置的挖矿程序，通过配置文件启动挖矿程序，进行挖矿，如下：