linux挖礦病毒xmrig解決
㈠ 挖礦病毒
自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。
說說挖礦病毒的幾個特點:
一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。
二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。
三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。
四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。
挖礦病毒的防禦
挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。
對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。
㈡ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
㈢ linux被挖礦重裝系統能清除嗎
可以的
xmrig是一種挖礦病毒,通常會搶占伺服器的資源,導致伺服器超負荷運轉,出現服務宕機的情況。
㈣ 網路流量威脅-xmrig協議PCAP分析
1、xmrig木馬
挖礦木馬成為黑產團伙的主要獲利方式之一,也成為了企業內部安全的主要威脅之一。門羅幣很多僵屍網路也把挖礦作為主要的獲利手段。本文分析挖礦連接的行為。
2、具體樣本
樣本具有連接xmrig礦池通信行為,xmrig協議通信;
3、PCAP分析
相關實驗的 xmrig通信PCAP
DNS Standard query A xmr.pool.minergate.com
xmrig協議格式【1】
request:
{"id":x,"jsonrpc":"2.0","method":"login","params":{"login":"xxxxxx","pass":"x","agent":"xxxxx","algo":["xxx","xxx","xxx"]}}
{"id":x,"jsonrpc":"2.0","method":"submit","params":{"id":"xxxx","job_id":"xx","nonce":"xxxx","result":"xxxxxxx"}}
response:
{"params":{"blob":"xxxxxx","taget":"xxxx","job_id":"xxxxx"},"method":"xxx"}
本次抓包具體例子:
{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"xxx","pass":"x","agent":"Static XMRig/2.13.1 (Linux x86_64) libuv/1.24.1 gcc/6.4.0","algo":["cn","cn/r","cn/wow","cn/2","cn/1","cn/0","cn/half","cn/xtl","cn/msr","cn/xao","cn/rto","cn/gpu"]}}
㈤ 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
㈥ linux系統中病毒怎麼辦
1、最簡單有效的方法就是重裝
2、要查的話就是找到病毒文件然後刪除;中毒之後一般機器cpu、內存使用率會比較高,機器向外發包等異常情況,排查方法簡單介紹下:
#top命令找到cpu使用率最高的進程,一般病毒文件命名都比較亂
#可以用ps aux 找到病毒文件位置
#rm -f 命令刪除病毒文件
#檢查計劃任務、開機啟動項和病毒文件目錄有無其他可以文件等
3、由於即使刪除病毒文件不排除有潛伏病毒,所以最好是把機器備份數據之後重裝一下。
㈦ xmrig.exe 是什麼進程
可以啟動任務管理器,在進程里的這個進程上,右鍵,打開文件位置,看是在哪個文件夾下,應該能大致知道是什麼軟體的進程
㈧ 解決挖礦病毒的經歷
線上一台伺服器,CPU高達90%以上,經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果,很快就會自動恢復
排查步驟:
結果:
病毒被植入到了線上運行的某一docker容器內。
如何先確定是哪一容器再去刪除搜索結果中的病毒文件?
我這台機器跑的容器不多,可以用復制文件的方法,先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以確定容器了。結果是php的容器出現了問題。
知道是具體是什麼容器出現了問題,最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器,所以先啟動了一個新php容器,修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。(nginx容器已經映射目錄到宿主機)
修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄
測試線上環境正常後,刪除原來的php容器。(這是自然也==直接刪除了病毒文件)
執行 TOP命令,CPU佔用正常。
平時防火牆和sellinux都關閉的話,伺服器不要暴漏太多無用埠,出現問題應該最新通過進程名去查找文件的原始位置去分析問題,遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本