声明:本文为转载文章
原文:安全研究 | Linux 遭入侵,挖矿进程被隐藏案例分析 今天把之前的服务器加了监控,一会cpu使用100%的报警短信来了,到服务器上看,top ni 这个一直100%很高,负载也是满负载(基于cpu核数),top看不到有任何进程使用cpu那么高,使用率都是0.0或者1.0,ps命令也看不出去有异常的,无奈只能网上找答案:Linux 服务器cpu ni 占用率很高,被入侵过应该如何排查问题看到此篇文章立马觉得就不好了,安装完sysdig这命令操作后,果然是被当矿机了。。。只因为服务器没有加安全策略导致redis被入侵;看完此篇解答的我疑惑
一、背景 云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。
二、入侵分析 本次捕获案例的入侵流程与以往相比,没有特殊的地方,也是利用通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。通过对几个案例的分析,我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析:https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w
在服务器被入侵后,首先可以明显感觉到服务器的资源被占用而导致的操作迟缓等问题,通过一些常规手段可以发现一些异常信息,但又看不到进程信息:







在知道了黑客使用的隐藏手法后,直接编辑 /etc/ld.so.preload 文件去掉相关内容,然后再通过 top 命令即可看到挖矿进程:









三、样本分析通过对样本逆向分析,发现样本 libjdk.so 主要是 Hook 了 readdir 和 readdir64 两个函数:





而类似于 top、ps 等命令在显示进程列表的时候就是调用的 readdir 方法遍历 /proc 目录,于是挖矿进程 x7 就被过滤而没有出现在进程列表里。
四、附录 IOCs: 样本
1,4000dc2d00cb1d74a1666a2add2d9502
2,8bd15b2d48a051d6b39d4c1ffaa25026
3,e2a72c601ad1df9475e75720ed1cf6bf
4,d6cee2c684ff49f7cc9d0a0162b67a8d
矿池地址
xmr-asia1.nanopool.org:14433
123.56.154.87:14444钱包地址
42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7
相关链接:
1.https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w
2.https://cloud.tencent.com/product/hs
本文最后更新时间 2018-09-06
文章链接地址:https://me.jinchuang.org/archives/259.html
本站文章除注明[转载|引用|原文]出处外,均为本站原生内容,转载前请注明出处
好像还有用网吧电脑挖矿的
这些人就是利用一切能用的资源去挖
是用别人的电脑挖矿这种吗?
是的,利用别人电脑当矿机挖矿
这种容易查出来吗?电脑运行速度回降低吗?
因为有不同版本的,linux上主要是耗的cpu,看cpu使用率有没有异常就知道了,运行速度会降低的,(我这次遇到的,系统还是很流畅也不怎么慢)
这样的话电脑的运行速度会变慢吗?好像是不容易查出来