云服务器挖矿 青腾云安全出品:关于挖矿你需要知道的一切
云服务器挖矿 青腾云安全出品:关于挖矿你需要知道的一切
(通常称为恶意挖掘)是一种新兴的在线威胁,它隐藏在服务器或 PC 等设备上,并利用设备资源“挖掘”加密货币。虽然相对较新,但采矿威胁已成为最常见的网络威胁之一,并有可能成为网络世界的下一个主要安全威胁。
与网络世界中的大多数其他恶意攻击一样,挖矿的最终动机是盈利。在了解采矿机制以及如何保护自己免受采矿之前,需要一些背景知识。
什么是加密货币
加密货币是一种仅存在于网络世界中的数字货币形式,没有实际的物理形式。它们作为分散的货币单位存在,可以在网络参与者之间自由转移。
与传统货币不同,加密货币不受特定政府或银行的支持,也没有政府监管或加密货币中央监管机构。加密货币的去中心化和匿名性质意味着没有监管机构来决定有多少资金将流入市场。
大多数加密货币开始通过“挖矿”进入流通。挖矿本质上是将计算资源转化为加密货币。起初,任何拥有计算机的人都可以挖掘加密货币,但很快就变成了军备竞赛。今天,大多数矿工使用功能强大的专用计算机全天候挖掘加密货币。不久云服务器挖矿,人们开始寻找新的加密货币挖矿方式,挖矿木马应运而生。黑客无需购买昂贵的矿机,只需感染普通计算机,盗取他人资源,为自己谋取利益。
什么是“挖矿”行为
“挖矿”是指在受害者不知情或未经许可的情况下,使用他人的设备在受害者的设备上秘密挖掘加密货币的做法。黑客利用“挖矿”从受害者的设备中窃取计算资源,从而获得执行复杂加密操作的能力。
以比特币挖矿为例云服务器挖矿,每个时间点,比特币系统都会在节点上生成一个随机码,互联网上所有的电脑都能找到这个码,谁找到这个码就会产生一个随机码块。根据比特币发行的奖励机制,每产生一个区块,节点都会收到相应的奖励。这个寻找代码以获得奖励的过程就是挖矿。但是,要计算出一个满足条件的随机码,需要进行数万亿次的哈希运算,所以一些黑客会通过入侵服务器等方式让别人的电脑帮自己挖矿。
挖矿攻击非常危险,因为挖矿利用计算机的中央处理器 (CPU) 和图形处理器 (GPU),在极高负载下运行它们。这就像开车上山时猛踩油门或打开空调,减慢所有其他计算机进程云服务器挖矿,缩短系统寿命,最终导致计算机崩溃。当然,“矿工”可以通过多种方式“奴役”你的设备。
第一种方法:就像恶意软件一样,一旦点击恶意链接云服务器挖矿,它就会将加密代码直接加载到您的计算机设备上。一旦计算机被感染,矿工就会开始挖掘加密货币,同时保持隐藏在后台。因为它会感染并驻留在计算机上,所以它在本地是一个持续性威胁。
第二种方法:称为基于网络的加密攻击。类似于恶意广告攻击,例如将一段代码嵌入网页。之后,它会在访问该页面的用户的计算机上进行挖矿,这个过程不需要权限,并且在用户离开原网站后仍能长时间保持运行。用户认为可见的浏览器窗口已关闭,但隐藏的窗口仍保持打开状态。
如何查找和删除“挖矿”木马
当出现以下情况时,说明你的设备很可能被恶意挖矿。
1.CPU 使用率仍然很高;
2. 响应时间很慢;
3.设备过热,散热风扇长时间高速运转;
此时需要判断设备本身(主要是服务器)是否感染了挖矿木马或浏览器挖矿。
你对服务器挖矿了解多少?
目前,服务器挖矿最常用的入侵方法是SSH弱密码和未经授权访问Redis。其他常见的入侵方式如下:
(1)未授权访问或弱密码。包括但不限于:API未授权访问、Yarn未授权访问、NFS未授权访问、rsync弱密码、弱密码、弱密码、弱密码、远程弱桌面密码.
(2)新的高危漏洞。每次新的高危漏洞,特别是命令执行漏洞,那些长期致力于挖矿盈利的黑客或矿工都会及时更新挖矿。因此,在新漏洞爆发后,黑客将紧跟一波大规模全网扫描和挖矿操作。
比如2018年爆发的反序列化漏洞、命令执行漏洞,甚至12月份爆发的远程命令执行漏洞,都被矿工家族用作挖矿的攻击载荷。
一旦发现服务器有挖矿迹象,我该怎么办?需要确认挖矿进程云服务器挖矿,挖矿进程所属用户,查看用户进程,尽快清除挖矿木马。
01 确定挖矿过程
可以使用top命令直接过滤掉占用CPU过多的可疑进程,以确定挖矿进程。比如一些挖矿过程的名称是由不规则的数字和字母组成的,可以直接看到(比如ddg的qW3xT.4或者zigw等)。
当然,也有可能将挖矿过程修改为通用名称,干扰运维人员。但是这种伪装方法比较简单(比如使用XHide修改进程名或者直接修改可执行文件名),所以在排查过程中,还要注意所有占用高CPU的可疑进程。
如果看到可疑进程,可以使用lsof -p pid查看该进程打开的文件云服务器挖矿,或者/proc/pid/exe指向的文件。
从上图可以看出,进程指向的文件显然是异常文件,此时需要重点关注该文件。
另外,如果挖矿木马具有隐藏进程的功能,则很难直接从顶部确定可疑进程名称。这时候可以从以下几个方面进行检查:
1、系统命令是否被替换
使用 rpm -Va 检查系统命令是否被替换。如果系统命令已经被替换,可以直接将纯系统中的ps、top等命令复制到被感染的主机上使用。
可以看到系统ps、lsof这三个命令被替换了。
ps命令被替换后,ps输出的内容被修改,从而隐藏了可疑进程。这种情况下,如果直接使用ps命令,查询会不准确。例如,gates 木马将替换 ps 命令。直接使用ps -ef 命令查看进程时,会隐藏/usr/bin/ 中的一个进程。如下图,使用系统可以看到可疑进程,但是使用系统ps命令看不到/usr/bin/bsd-port/recei进程。
2、动态链接库是否被修改
如果找不到占用CPU高的进程,考虑检查动态链接库是否被修改,使用cat /etc/ld.so。或 echo $ 命令检查是否有预加载的动态链接库文件。
也可以使用ldd命令查看命令依赖库中是否有可疑的动态库文件,如图,将.so文件添加到ld.so后。文件,ldd命令可以看到top命令预加载了可疑动态库。
确认已加载恶意动态链接库后,直接删除恶意动态链接库文件或清除ld.so中库文件的引用内容。
3、以上所有情况都可以通过静态编译直接检查。
02查看挖矿过程的用户
一般来说,挖矿进程是一个自动化的攻击脚本,所以很少有提权的过程,所以很可能属于挖矿进程的用户就是攻击系统的用户。后续的排查过程可以以此为基础找到攻击者的入侵路径。
你可以从两个方面看到挖矿过程的用户。
03 查看用户进程
确定丢失用户后,可以查询该用户所属的其他进程,判断其他进程是否存在已知漏洞(反序列化、串行漏洞、RCE)或弱密码(Redis未授权、yarn未授权、SSH弱密码)以及其他问题。
可以看出,用户名下除了两个挖矿进程外,还有一个应用进程,所以此时要判断应用是否存在已知漏洞(如反序列化漏洞)。如果有,那么挖矿过程很可能会利用该漏洞来获取对主机的访问权限。
04 确定原因
发现挖矿木马后,分析木马的类型,根据木马的传播特点和传播方式初步判断入侵原因。然后结合应用日志和漏洞利用的残留文件,判断该漏洞是否在本次攻击中被利用。
比如利用redis的未授权访问漏洞后,一般会修改redis和dir的配置,而使用redis写文件时,文件中会保留redis和版本号标识。可以检查使用上面两个信息是否使用。 redis。
05 移除挖矿木马
1、及时隔离宿主
部分具有蠕虫功能的挖矿木马,在获得本机控制权后,会以本机为跳板,扫描并进一步利用同一局域网内其他主机的已知漏洞。现象发生后,在不影响业务的情况下,应及时隔离被感染主机,然后进行下一步分析。
2、阻止与矿池的通信
-A 输入 -s -j 删除
-A -d -j 删除
3、清除计划任务
大部分挖矿进程会在被感染主机中写入定时任务,完成程序的驻留。当安全人员仅清除挖矿木马时,定时任务会再次从服务器下载挖矿进程或直接执行挖矿脚本,导致无法清除挖矿进程。
使用 -l 或 vim /var/spool/cron/root 查看是否有可疑的定时任务,直接删除,或者停止crond进程。
还有
还要注意/etc/、/var/spool/cron、/etc/cron.daily/、/etc/cron./、/etc/cron./、/etc等文件夹或文件的内容/ .
4、清除启动项
为了实现长期驻留,部分挖矿进程会在系统中添加启动项,以保证系统重启后可以重启挖矿进程。因此,在清除时,还应注意启动项的内容。如果有可疑的启动项,也应在确认是挖矿过程后排查清除。
故障排除过程中应注意的要点:
/etc/rc0.d/, /etc/rc1.d/, /etc/rc2.d/, /etc/rc3.d/ , /etc/rc4.d/, /etc/rc5.d/, /etc/rc6.d/, /etc/rc.d/, /etc/rc.本地/etc/等目录或文件的内容。
5、清除公钥文件
将文件放在用户家目录的.ssh目录下,无需密码即可登录机器,也是维护服务器控制的常用方法。在排查过程中,应检查文件中是否存在可疑公钥信息,如有可疑公钥信息直接删除,防止攻击者再次无密码登录主机。
[]/.ssh/
6、杀死挖矿进程
对于单进程挖矿程序,只需结束挖矿进程即可。但是对于大部分挖矿进程来说云服务器挖矿,如果挖矿进程有守护进程,则应该先杀掉守护进程,再杀掉挖矿进程,避免不完全清除。
kill -9 pid 或 pkill ddg.3014
在实际的清除工作中,要找到本机运行的挖矿脚本,根据脚本的执行过程确定木马的驻留模式,进行清除,以便避免不完全删除。
必须避免浏览器挖矿
首先要做的是识别吞噬资源的进程。通常使用 or MacOs 就足以确定罪魁祸首。但是,该进程也可能与合法文件同名,如下图所示。
如果进程是浏览器,则更难找到罪魁祸首。
当然,可以粗略地终止进程,但最好找出浏览器中的哪个站点占用了如此多的 CPU 性能。例如,有一个内置的工具叫做任务管理器,通过点击主菜单中的“更多工具”并选择“任务管理器”来启动它。
此任务管理器显示各个浏览器选项卡和扩展程序的 CPU 使用率,因此如果您的某个扩展程序包含矿工,它也会显示在列表中。
写在最后
2017年是挖矿木马爆发的一年,而2018年是挖矿木马从隐秘角落走向大众视野的一年,2019年可能是木马疯狂的一年。防止挖矿木马的兴起是安全人员的一项重要职责,防止挖矿木马的入侵是每个服务器管理员和PC用户需要注意的重点。防御挖矿木马任重道远!
