某平台挖矿病毒-应急响应报告

第一章、应急现场概述

1.1 、网络拓扑信息

无

1.2 、攻击现场环境

操作系统：Windows 2008 R2

应用类型：综合管理平台

1.3 、客户问题描述

主机 ip/域名	www.XXX.com
入侵主机情况描述	入侵主机被植入挖矿病毒
主要用途
行为表现	CPU占用高，某公司提示挖矿病毒
安全防护措施	某公司基础云盾

1.4 、事件处置结果

问题综述	某公司运单提示客户服务器CPU性能耗尽，登录服务器查看发现被植入挖矿病毒，导致服务器性能占用过高。
处置结果	1、找出停掉运行的挖矿病毒进程，并删除挖矿病毒文件。 2、回溯病毒植入原因分析
遗留内容	1、更新服务器补丁2、修改服务器密码。3、渗透测试找出原因

第二章、事件排查过程

2.1 、异常现象确认和处理

1、某公司提示服务器CPU资源占用异常。

2、查看某公司云盾日志发现有挖矿程序

3、登录服务器查看CPU占用率92%左右。

4、打开process Hacker ,分析发现CPU占用主要是processs.exe下的system进程占用。

5、根据进程路径找到该进程文件并上传到微步确认，确认该进程为恶意程序。

6、安装杀毒软件进行查杀，和客户确认文件非业务文件后删除病毒文件夹内所有文件，同时对启动项、启动服务等启动项进行排查，删除病毒启动服务，重启后验证病毒彻底清除。

2.2 、溯源分析过程

1、根据某公司云盾日志和病毒文件的创建日期分析，挖矿病毒是在2020年4月3日12时22分植入服务器的。

2、根据某公司盾日志分析，黑客是通过 certutil.exe程序远程下载fax3.exe文件，根据日志提示地址下载fax3.exe文件，并上传微步分析得出黑客是通过运行fax3.exe文件释放挖矿病毒的。

3、通过和客户沟通，得知客户平台对外开放80、1521、3389，3个端口。通过查看windows 日志，没发现可疑登录成功IP，考虑到客户密码强度非常高，所以排除黑客通过3389暴力破解RDP密码登录的可能性

4、另外系统对外开放了oracle 1521端口，通过和客户沟通得知客户的oracle用户为system和qmt,密码分别为123456和1234，由于是弱密码所以存在被暴力破解的可能性，但通过查询oracle登录日志，数据库只有第三方运维人员（已和第三发运维人员确认登录行为）和本机的登录日志，未发现异常登录IP访问，所以可以排除通过暴力破解oracle密码登录的可能性。

5、另外系统对外开发了80端口，经查看客户web中间件为tomcat6并未开启网站访问日志，所以无法对WEB访问日志进行分析。

6、通过和客户沟通得知客户网站管理的后台密码为123456，存在暴力破解风险，黑客可能通过后端webshell上传木马执行下载运行挖矿程序的，同时在用D盾查杀webshell,查出一个风险值为5的webshell,通过分析发现为误报，怀疑黑客上传webshell后删除木马文件。

第三章、应急响应事件结论

      

      服务器被植入挖矿病毒，造成CPU占用过高，服务器被入侵时间为2020年4月3日12时22分，黑客是通过 certutil.exe程序远程下载fax3.exe文件，运行释放挖矿病毒，由于web中间件未开启web访问日志，通过和客户沟通客户系统主要对外开放了3389、1521、80端口，经过排查分析可以排除黑客通过暴力破解3389和1521用户名密码登录服务器获取服务器控制权的可能性，由于网站系统后台登录页面为弱密码，存在暴力破解成功并上传webshell的可能性，而且web中间件并未开启web访问日志记录，所以初步判断入侵方法是利用web漏洞后端webshell上传木马文件。建议客户进行渗透测试确认入侵路径和方法。

第四章、存在的威胁

4.1 、安全意识问题

1. 服务器密码长时间未修改，软件服务商掌握服务器远程登录密码。

2. 对于服务器安全性不够重视，比如WEB后台管理端存在弱口令等。

4.2 、服务器安全

1. 主机上未安装最新版/可统一管控的杀毒软件，未对主机进行病毒查杀；

2. 主机未及时更新系统补丁。

3. 服务器从未做过风险评估，不了解服务器的安全状态。

第五章、安全加固和改进建议

系统加固建议

账号安全

• 定期修改服务器管理员密码
• 禁用 administrator 账号，为跳板机用户专门设置新的账号。
• 账号尝试登陆 5 次后将该账号进行封锁半小时不运行登陆的禁令。
• 修改oracle数据库密码为复杂密码。

  
  
  
  

系统安全

• 操作系统补丁管理 - 安装最新的操作系统 Hotfix 补丁。安装补丁时应对服务器系统进行兼容性测试。
• 限制远程登陆空闲断开时间 - 对于远程登陆的账号，设置不活动超过时间 15 分钟自动断开连接。
• 防病毒管理 - 安装企业级防病毒软件，并开启病毒库更新及实时防御功能。
• 服务安全 - 禁用 TCP/IP 上的 NetBIOS 协议，可以关闭监听的 UDP 137、UDP 138、以及 TCP 139 端口。
• 共享文件夹及访问权限 - 非域环境中，关闭 Windows 硬盘默认共享，C$，D$。
• 关闭oracle数据库端口
  

  
  
  
  

产品加固建议

1、部署可统一管控的终端安全杀毒软件，如发现安全问题可一键下发病毒查杀扫描任务，及时清理病毒。


2、对系统做安全风险评估和渗透测试，及时解决系统存在的风险和问题。

感谢楼主带来的干货分享，已将文章收录并放到社区技术博客中，以便让更多的用户关注和学习！

社区有奖征文活动【原创分享计划】已开启，赶快投稿，领S豆和现金包！具体内容要求和奖励规则请参考：
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=124801

感谢分享。

学习一下

打卡学习

学习了，感谢分享

感谢分享新知识、新思路感谢

很详细谢谢楼主 能配个图就更好了   学习了   

感谢分享，学习学习！！！！！！！！

感谢分享，有助于工作，学习学习