黑客攻防
# 木马删除日记
top #查看进程, 发现pid为22951 占用了大量cpu资源
crontab -l // 查看所有的定时任务,发现 24 * * * * /root/.systemd-private-DFgShnQ7IH4vPyJ0TwPee16uDCbe0ra3.sh > /dev/null 2>&1 &
crontab -e // 将那一行自启动的代码进行#注释
cat cron*|grep RELOAD
1
2
3
4
5
6
2
3
4
5
6
systemctl status 22951 //
分析定时任务文件,发现已被base64编码,可以利用工具进行解码 http://tool.chinaz.com/tools/base64.aspx
cat .systemd-private-DFgShnQ7IH4vPyJ0TwPee16uDCbe0ra3.sh
find / 2>/dev/null |grep DFgShnQ7IH4vPyJ0TwPee16uDCbe0ra3
find / -iname systemd-service.sh
find / -iname .systemd-service.sh
1
2
3
4
5
6
7
8
9
2
3
4
5
6
7
8
9
# 完善补丁
1、修改redis的密码,不要设置为空密码
2、删除木马程序
/etc/cron.d/目录里面的定时任务/opt/目录/root/目录
3、修改ssh的默认端口为10011
vi /etc/ssh/sshd_config #先添加端口10011, 重启sshd后能够连接上,再关掉22端口。
systemctl restart sshd
1
2
2
阿里云安全组、宝塔面板里面需要放行10011端口
# 总结
一、整个挖矿清理的过程逻辑,简述就是“先暂停——再清理——再恢复”,因为挖矿攻击行为的特性,停止挖矿进程会使挖矿进程陷入一个短暂“休眠期”,为我们赢得时间定位进程位置,清理核心进程。
二、挖矿进程文件位置
三个核心自动生成挖矿任务的文件位置:(注:定位核心进程位置时要留心,结合配置文件,自动任务,自动任务日志等信息综合判断,边清理边观察,边观察边清理)
/etc/cron.d/0systemd // 第一挖矿进程
/root/.systemd-service.sh // 挖矿子进程1
/root/.systemd-service.sh // 挖矿子进程2
1
2
3
2
3
二、挖矿的入侵源头经分析,主要由于安全组ssh远程端口未合理配置导致,直接开放于公网。像这类情况挖矿木马会通过批量扫描ssh端口爆破植入,使服务器沦为矿机。后期通过一些CASE,我会逐步在案例中分析挖矿木马一些有趣的骚操作。安全,防患于未然:因此要加强安全组策略限制,并养成定期修改服务器远程登录口令等安全习惯,才能防患于未然。
参考文章 :
【应急响应】对抗一个隐蔽通信的挖矿木马 - 知乎 (zhihu.com) (opens new window)
实战矿马:数据异常牵出的挖矿木马(.systemd-service.sh) - 云+社区 - 腾讯云 (tencent.com) (opens new window)