(1)事件概述
某厂商外网服务器出现CPU异常,疑似挖矿程序病毒事件分析;

(2)事件分析
使用top查看到wnTKYG.noaes进程占用大量cpu资源,和ddg.2020可疑进程,wnTKYG.noaes为挖矿病毒主进程:

使用lsof查看对外连接情况,发现wnTKYG.noaes对218.248.40.228:8443和163.172.226.218.rev.poneytelecom.eu:443发起TCP外连请求;

使用ps查看挖矿程序进程,程序路径为/tmp/wnTKYg.noaes,被程序自身删除前已经加载到内存中,可进行挖矿操作:

ddg.2020为挖矿病毒守护和传播进程,从运行记录的时间戳得知该操作存在于 11月9日23时44分,攻击者已于该时间进入服务器:

使用lsof查看对外连接情况,发现ddg.2020对218.248.40.228:8443发起TCP外连请求:

查看定时任务,发现攻击者在计划任务中留下了定时启动脚本,删除挖矿程序后可通过每隔5分钟执行一次计划任务中的后门脚本重新下载启动;

云端i.sh脚本内容如下:

云端木马样本地址可访问:

经反编译分析ddg样本后,发现此样本有弱口令爆破的功能,使用内置账户/口令字典,对ssh和rdp进行批量登录尝试,爆破成功后继续横向传播。该挖矿木马还可通过redis未授权访问漏洞进行传播;

(3)结论
中招服务器临时解决方案:

  1. 清除挖矿后台任务
    linux下例如:

    rm –rf /var/spool/cron/root
    
    rm –rf /var/spool/cron/crontabs/root

    windows下例如:

移除Microsoft.NET_Framework_NGENS挖矿服务

安装杀毒软件,进行全盘杀毒。

  1. 终止挖矿进程
    linux下例如:

    pkill AnXqV
    
    pkill ddg.222
    
    pkill ddg.2020
    
    pkill wnTKYg

    windows下例如:

停止Microsoft.NET_Framework_NGENS服务

  1. 清理挖矿相关文件

    /tmp/wnTKYg.noaes
    
    /tmp/ddg.2020
    
    /root/.ddg/2020.db
    
    /tmp/ddg.222
    
    /tmp/AnXqV.yam
    
    /tmp/AnXqV
    
    /tmp/AnXqV.noaes等及 ~/.ssh/中未知授权
    
    C:\Windows\debug\wk1xw 
  2. 防火墙上封禁挖矿样本下载和外连地址:
    218.248.40.228

163.172.207.69

163.172.226.131

163.172.226.201

继续分析,保证业务系统安全运行:

1.修改操作系统用户密码,同时密码应严格使用复杂口令,避免密码的重用情况,避免规律性,定期进行修改;

2.加强访问控制策略,限制粒度达到端口级,如SSH、redis白名单策略,对于业务无需外网访问的情况下,禁止对外网直接提供访问;

3.开启登录事件检测,对大量登录失败的源IP进行登录限制,防止服务口令爆破;

4.开启SSH证书登录,避免直接使用密码进行登录,同时禁止root用户直接远程登录,对于需要root权限的操作,使用sudo等权限管理工具进行分配;

5.Redis数据库增加密码访问认证;

6.定期对系统日志进行备份,避免攻击者恶意删除相关日志文件,阻断溯源能力,同时加强日常安全巡查,防范于未然;

最后修改:2021 年 03 月 09 日
如果觉得我的文章对你有用,请随意赞赏