本帖最后由 Hacking 于 2022-5-31 10:12 编辑
0x00 前言
今天收到客户投诉单,反馈一台 centos 服务器中毒, 我检查发现云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题。猜测多半是挖矿木马(未确定),搜索关键字minerd发现这个一个挖矿程序,,准备进行清理工作。
0x01 应急场景
事件分析
A、排查过程
登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程 :
[backcolor=transparent !important]经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径,执行ll /proc/PID/exe,其中PID/exe,其中PID为查询到的进程ID [backcolor=transparent !important]异常程序在/opt目录下
![]()
[backcolor=transparent !important]此程序一般是由计划任务产生的,Linux系统中默认创建了计划任务后会在/var/spool/cron目录下创建对应用户的计划任务脚本,执行ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。 [backcolor=transparent !important]可以看到,在此目录下有1个root的计划任务脚本和一个异常的目录crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录)
![]()
B、溯源分析
通过netstat -tnpl查看到Redis的6380端口监听在0.0.0.0上,这属于高风险操作。解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,***利用了redis的一个漏洞获得了服务器的访问权限, 先临时停掉了挖矿的进程 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。 3. pkill minerd ,杀掉进程 4. service stop crond 或者 crontab -r 删除所有的执行计划 5. 执行top,查看了一会,没有再发现minerd 进程了。
清理遇到的两个问题 kill -9 可以杀死此进程,然而立马生成了一个新的进程出来 在 /etc/cron.hourly/ 有一个异常定时任务配置,文件名是 xxx.sh,删除后立马生成了一个新的配置文件 (文件名也变了)
0x03 防范措施
1、删除计划任务脚本中异常配置项,如果当前系统之前并未配置过计划任务,可以直接执行rm -rf /var/spool/cron/* 情况计划脚本目录即可。
2、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护
3、及时更新安全补丁,开启防火墙临时关闭端口
4、及时更新漏洞补丁,升级组件 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-6-4 16:27
技术专家1级 
