应急响应之cpu异常,疑似挖矿程序病毒事件分析

  • 内容
  • 相关

(1)事件概述

某厂商外网服务器出现CPU异常,疑似挖矿程序病毒事件分析;

(2)事件分析

使用top查看到wnTKYG.noaes进程占用大量cpu资源,和ddg.2020可疑进程,wnTKYG.noaes为挖矿病毒主进程:

Image

使用lsof查看对外连接情况,发现wnTKYG.noaes对218.248.40.228:8443和163.172.226.218.rev.poneytelecom.eu:443发起TCP外连请求;

Image

使用ps查看挖矿程序进程,程序路径为/tmp/wnTKYg.noaes,被程序自身删除前已经加载到内存中,可进行挖矿操作:

Image

ddg.2020为挖矿病毒守护和传播进程,从运行记录的时间戳得知该操作存在于 11月9日23时44分,攻击者已于该时间进入服务器:

Image

使用lsof查看对外连接情况,发现ddg.2020对218.248.40.228:8443发起TCP外连请求:

Image

查看定时任务,发现攻击者在计划任务中留下了定时启动脚本,删除挖矿程序后可通过每隔5分钟执行一次计划任务中的后门脚本重新下载启动;

Image

Image

云端i.sh脚本内容如下:

Image

云端木马样本地址可访问:

Image

经反编译分析ddg样本后,发现此样本有弱口令爆破的功能,使用内置账户/口令字典,对ssh和rdp进行批量登录尝试,爆破成功后继续横向传播。该挖矿木马还可通过redis未授权访问漏洞进行传播;

 

Image

(3)结论

中招服务器临时解决方案:

1.    清除挖矿后台任务 

linux下例如:

rm –rf /var/spool/cron/root

rm –rf /var/spool/cron/crontabs/root

windows下例如:

移除Microsoft.NET_Framework_NGENS挖矿服务

安装杀毒软件,进行全盘杀毒。

2.    终止挖矿进程

linux下例如:

pkill AnXqV

pkill ddg.222

pkill ddg.2020

pkill wnTKYg

windows下例如:

停止Microsoft.NET_Framework_NGENS服务

3.    清理挖矿相关文件

/tmp/wnTKYg.noaes

/tmp/ddg.2020

/root/.ddg/2020.db

/tmp/ddg.222

/tmp/AnXqV.yam

/tmp/AnXqV

/tmp/AnXqV.noaes等及 ~/.ssh/中未知授权

C:\Windows\debug\wk1xw 

4.    防火墙上封禁挖矿样本下载和外连地址:

218.248.40.228

163.172.207.69

163.172.226.131

163.172.226.201


继续分析,保证业务系统安全运行:

1.修改操作系统用户密码,同时密码应严格使用复杂口令,避免密码的重用情况,避免规律性,定期进行修改;

2.加强访问控制策略,限制粒度达到端口级,如SSH、redis白名单策略,对于业务无需外网访问的情况下,禁止对外网直接提供访问;

3.开启登录事件检测,对大量登录失败的源IP进行登录限制,防止服务口令爆破;

4.开启SSH证书登录,避免直接使用密码进行登录,同时禁止root用户直接远程登录,对于需要root权限的操作,使用sudo等权限管理工具进行分配;

5.Redis数据库增加密码访问认证;

6.定期对系统日志进行备份,避免攻击者恶意删除相关日志文件,阻断溯源能力,同时加强日常安全巡查,防范于未然;

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:应急响应之cpu异常,疑似挖矿程序病毒事件分析 - http://www.shungg.cn/post/230

发表评论

电子邮件地址不会被公开。 必填项已用*标注