挖矿⽊马的处置建议
挖矿⽊马是利⽤各种⽅法⼊侵计算机,利⽤被⼊侵计算机的算⼒挖掘加密以牟取利益的⽊马。其既可以是⼀段⾃动化扫描、攻击的脚本,也可以集成在单个可执⾏⽂件中。挖矿⽊马为了能够长期在服务器中驻留,会采⽤多种安全对抗技术,如修改任务计划、修改防⽕墙配置、修改系统动态链接库等,使⽤这些技术⼿段严重时可能造成服务器业务中断。linux中netstat命令
5.2.1 隔离被感染的服务器/主机
部分带有蠕⾍功能的挖矿⽊马在取得当前服务器/主机的控制权后,会以当前服务器/主机为跳板,对同⼀局域⽹内的其他机器进⾏漏洞扫描和利⽤。所以在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁⽤⾮业务使⽤端⼝、服务,配置ACL⽩名单,⾮重要业务系统建议先下线隔离,再做排查。5.2.2 确认挖矿进程将被感染服务器/主机做完基本隔离后,就要确认哪些是挖矿⽊马正在运⾏的进程,以便执⾏后续的清除⼯作。挖矿程序的进程名称⼀般表现为两种形式:⼀种是程序命名为不规则的数字或字母;另⼀种是伪装为常见进程名,仅从名称上很难辨别。所以在查看进程时,⽆论是看似正常的进程名还是不规则的进程名,只要是CUP占⽤率较⾼的进程都要逐⼀排查。5.2.3 挖矿⽊马清除挖矿⽊马常见的清除过程如下。(1)阻断矿池地址的连接。在⽹络层阻断挖矿⽊马与矿池的通信。(2)清除挖矿定时任务、启动项等。
⼤部分挖矿进程为了使程序驻留,会在当前服务器/主机中写⼊定时任务,若只清除挖矿⽊马,定时任务会直接执⾏挖矿脚本或再次从服务器下载挖矿进程,则将导致挖矿进程清除失败。所以在清除挖矿⽊马时,需要查看是否有可疑的定时任务,并及时删除。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所以在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进⾏排查,确认是挖矿进程后,进⾏清除。(3)定位挖矿⽊马⽂件的位置并删除在Windows系统下,使⽤【netstat-ano】系统命令可定位挖矿⽊马连接的PID,再通过【tasklist】命令可定位挖矿⽊马的进程名称,最后通过任务管理器查看进程,到挖矿⽊马⽂件的位置并清除。在Linux系统下,使⽤【netstat-anpt】系统命令可查看挖矿⽊马进程、端⼝及对应的PID,使⽤【ls-alh/proc/PID】命令可查看挖矿⽊马对应的可执⾏程序,最后使⽤【kill-9PID】命令可结束进程,使⽤【rm-rffilename】命令可删除该⽂件。在实际操作中,应根据脚本的执⾏流程确定挖矿⽊马的驻留⽅法,并按照顺序进⾏清除,避免清除不彻底。
挖矿⽊马僵⼫⽹络主要针对服务器进⾏攻击,攻击者通过⼊侵服务器植⼊挖矿机程序获利。要将挖矿⽊马僵⼫⽹络扼杀在摇篮中,就要有效防范攻击者的⼊侵⾏为。以下是防范挖矿⽊马僵⼫⽹络的⽅法。1)避免使⽤弱密码服务器登录账户和开放端⼝上的服务(如MySQL服务)应使⽤强密码。规模庞⼤的僵⼫⽹络拥有完备的弱密码暴⼒破解模块,避免使⽤弱密码可以有效防范僵⼫⽹络发起的弱密码暴⼒破解。2)及时打补丁通常,在⼤部分漏洞细节公布之前,相应⼚商就会推送相关补丁。因此,及时为系
统和相关服务打补丁可有效避免攻击。3)服务器定期维护挖矿⽊马⼀般会持久化驻留在服务器中,若未能定期查看服务器状态,则其很难被发现。因此,应定期维护服务器,包括查看服务器操作系统CPU使⽤率是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。
如何判断遭遇挖矿⽊马判断是否遭遇挖矿⽊马,通常采⽤以下3种⽅法。(1)被植⼊挖矿⽊马的计算机会出现CPU使⽤率飙升、系统卡顿、部分服务⽆法正常运⾏等现象。(2)通过服务器性能监测设备查看服务器性能,从⽽判断异常。(3)挖矿⽊马会与矿池地址建⽴连接,可通过查看安全监测类设备告警判断。
实施以上排查分析流程,在确认了挖矿⽊马程序或⽂件后,需及时进⾏清除加固,防⽌再次感染。(1)封堵矿池地址。挖矿程序有外连⾏为,应⽤安全设备阻断矿池地址,防⽌⽤户对外通信。(2)清理任务计划、禁⽤可疑⽤户。任务计划的作⽤是定时启动挖矿程序或更新代码,所以如果确认了挖矿任务计划,应及时清理。由挖矿⽊马程序创建的⽤户,可能作为攻击跳板或⽤作其他攻击操作,当确认为异常⽤户后,需及时禁⽤或删除。(3)结束异常进程。⼤多数挖矿⽊马的表象特征为占⽤CPU资源
资源过⾼,所以当确认为挖矿⽊马后,应及时结束进程。(4)清除挖矿⽊马。结束进程并不代表挖矿⽊马就不会再运⾏,需要到对应进程⽂件及其相关联的脚本⽂件⼀并删除。(5)全盘杀毒、加固。实施以上操作后,仍需继续观察是否还有反复迹象,是否还有进程或任务计划没有清理⼲净。使⽤杀毒软件全盘杀毒,并对系统、应⽤做安全加固。删除挖矿⽊马利⽤的漏洞,防⽌系统再次“中招”。