某系统被入侵挖矿排查案例

辰星2年前技术文章1352


1、当时的出现的情况是:执行 top、w、netstat命令的时候,会出现卡住的情况,无法正常使用

image-20220729101651020.png



2、我们上传新的top命令之后,只是看到CPU使用率比较高,但是看不到占用CPU的异常进程


image-2.png


3、我们通过perf生成火焰图,发现存在很多异常进程占用CPU资源,这里基本上可以判定是中病毒了


image-3.png


4、但是我们定位不到异常的进程是什么,我们通过tcpdump抓取网络流量,看看通过网络层面有没有存在异常


image-4.png


5、我们通过bing搜索了 www.xmr-monero.top 和 www.fullskystar.top ,第一个跳出来的就是交易比特币的网站,第二个直接就跳出了被挖矿入侵的相关案例


image-5.png


6、通过搜索出来的CSDN的文章,我们根据他排查的步骤来进行:查看ldd /usr/bin/ls,对比了正常的服务器和异常的服务器


image-6.png


我们可以发现像文章中说的一样,我们的命令也被加入了 /lib/libcurl.so.2.17.0 动态库


7、但是我们搜索不到这个动态库文件,我们按照文章上面的操作步骤下载 busybox进行操作,busybox可以理解为一个干净的Linux系统,因为我们原来的系统已经被攻陷了,很多命令都被篡改了,所以要使用busybox


$ wget https://busybox.net/downloads/binaries/1.28.1-defconfig-multiarch/busybox-x86_64  --no-check-certificat
$ mv busybox-x86_64 busybox
$ chmod +x busybox
$ ./busybox ls -al /etc/ld.so.preload
-rw-r--r--    1 root     root            22 Jul 24 21:53 /etc/ld.so.preload
$ ./busybox cat /etc/ld.so.preload
/lib/libcurl.so.2.17.0
$ ./busybox ls -al /lib/libcurl.so.2.17.0
-rwxr-xr-x    1 root     root         31336 Jul 24 21:53 /lib/libcurl.so.2.17.0
$ ./busybox sh
$ ./busybox chattr -i /lib/libcurl.so.2.17.0; ./busybox mv /lib/libcurl.so.2.17.0 /lib/libcurl.so.2.17.0.old
exit


8、通过上面的步骤,我们可以看到病毒是通过 /etc/ld.so.preload 里面配置/lib/libcurl.so.2.17.0 进行进程隐藏的,我们可以通过 grep libcurl /proc/*/maps 查看到底有多少异常进程在运行


image-7.png


9、我们把上面grep 出来的异常进程kill掉之后,把/etc/ld.so.preload配置修改过来


$ chattr -i /etc/ld.so.preload 
$ echo -n > /etc/ld.so.preload


10、我们把异常的依赖库去掉之后,可以通过top正常的查看是否存在异常进程


image-8.png


11、经过搜索出来的CSDN的文章,可以进行相关的处理,我们在查看此文章的时候,发现在安全领域有HIDS(基于主机的入侵检测系统),我们通过搜索引擎查看到有很多HIDS方案供我们使用


image-9.png


通过比较,我们可以发现: OSSEC/Wazuh 相对来说功能支持的是最全面的,但是CentOS和Ubuntu的原生的软件仓库是不支持安装的,而unhide CentOS和Ubuntu原生支持,并且unhide支持查看隐藏的进程,所以我们可以直接使用unhide进行隐藏进程排查。


Found HIDDEN PID: 64630
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 64639
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95529
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95555
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95556
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95557
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95558
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95559
        Cmdline: "/usr/bin/bioset"
        Executable: "/usr/bin/bioset"
        Command: "bioset"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95820
        Cmdline: "/usr/bin/kthreadd"
        Executable: "/usr/bin/kthreadd"
        Command: "kthreadd"
        $USER=root
        $PWD=/

Found HIDDEN PID: 95821
        Cmdline: "/usr/bin/kthreadd"
        Executable: "/usr/bin/kthreadd"
        Command: "kthreadd"
        $USER=root
        $PWD=/


我们通过unhide 查到的进程跟我们在top命令里面看到的异常进程是一样的,跟CSDN里面的描述也是对得上的。


12、总结:我们通过命令行异常,最终定位到服务器是被挖矿了,整个链路还是有点长的,当然我们是在不清楚具体问题的情况下,如果知道直接去进行针对性的排查应该会更快,主要是这种挖矿病毒相对来说比较隐蔽。


引用1: https://blog.csdn.net/weixin_43767046/article/details/113306011


引用2: https://en.wikipedia.org/wiki/Host-based_intrusion_detection_system_comparison


相关文章

hive元数据迁移

hive元数据迁移

一、在新集群中创建hive数据库,作为新集群中的元数据库。注意点:创建hive数据库时注意用户和用户的权限及使用的编码格式一致。查看旧集群中角色权限和编码格式,在新的hive元数据库中设置相同的角色权...

SQLServer执行计划

SQLServer执行计划

一、执行计划概览RDS SQLServer 执行计划可以在性能分析中查看,也可以在登陆数据库后查看执行计划。(1)在 DMS 登陆数据库后查看,情况如下: 具体执行计划内容如下: (2)在性能分析中找...

CDH开启kerberos

CDH开启kerberos

1、依赖条件1、安装openldap-clients,krb5-workstations2、准备好kdcserver 或者AD2、操作步骤1、使用admin用户登录cm页面2、启用kerberos填写...

MySQL 闪回技术总结

MySQL 闪回技术总结

一、闪回技术汇总1. 第一类为以 patch 形式集成到官方工具 mysqlbinlog 中,阿里彭立勋 2012 年曾提交过相关工具;2. 第二类是独立工具,通过伪装 Slave 拉取 Binlog...

Redis 哨兵机制

Redis 哨兵机制

前言Redis 主从复制模式下,一旦主节点出现了故障不可达,需要人工干预进行故障转移,无论对于 Redis 的应用方还是运维方都带来了很大的不便。对于应用方来说无法及时感知到主节点的变化,必然会造成一...

JMS 介绍

JMS 介绍

一、JMS的基础JMS是什么:JMS是Java提供的一套技术规范JMS干什么用:用来异构系统 集成通信,缓解系统瓶颈,提高系统的伸缩性增强系统用户体验,使得系统模块化和组件化变得可行并更加灵活通过什么...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。