关于挖矿,你需要知道的一切
|
部分带有蠕虫功能的挖矿木马在取得本机的控制权后,会以本机为跳板机,对同一局域网内的其他主机进行已知漏洞的扫描和进一步利用,所以发现挖矿现象后,在不影响业务的前提下应该及时隔离受感染主机,然后进行下一步分析。 2、阻断与矿池通讯 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 3、清除定时任务 大部分挖矿进程会在受感染主机中写入定时任务完成程序的驻留,当安全人员只清除挖矿木马时,定时任务会再次从服务器下载挖矿进程或直接执行挖矿脚本,导致挖矿进程清除失败。 使用crontab -l 或 vim /var/spool/cron/root 查看是否有可疑定时任务,有的话直接删除,或停止crond进程。  还有/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab 等文件夹或文件中的内容也要关注。 4、清除启动项 还有的挖矿进程为了实现长期驻留,会向系统中添加启动项来确保系统重启后挖矿进程还能重新启动。所以在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,对其进行清除。 排查过程中重点应该关注:/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目录或文件下的内容。 5、清除公钥文件 在用户家目录的.ssh目录下放置authoruzed_keys文件,从而免密登陆该机器也是一种常见的保持服务器控制权的手段。在排查过程中应该查看该文件中是否有可疑公钥信息,有的话直接删除,避免攻击者再次免密登陆该主机。 [UserDIR]/.ssh/authorized_keys 6、kill挖矿进程 对于单进程挖矿程序,直接结束挖矿进程即可。但是对于大多数的挖矿进程,如果挖矿进程有守护进程,应先杀死守护进程再杀死挖矿进程,避免清除不彻底。 kill -9 pid 或 pkill ddg.3014 在实际的清除工作中,应找到本机上运行的挖矿脚本,根据脚本的执行流程确定木马的驻留方式,并按照顺序进行清除,避免清除不彻底。 浏览器挖矿不可不防 首先要做的是确定吞噬资源的过程。通常使用Windows Taskmanager或MacOs的Activity Monitor足以识别罪魁祸首。但是,该进程也可能与合法的Windows文件具有相同的名称,如下图所示。  如果该进程是浏览器时,更加难以找到罪魁祸首。  当然,可以粗暴地终止该进程,但精确找到究竟是浏览器中的哪一个站点占用了如此之多的CPU性能是一个更好的办法。比如,Chrome有一个内置工具,被称为Chrome任务管理器,通过单击主菜单中的“更多工具”并在其中选择“任务管理器”来启动它。  此任务管理器显示各个浏览器选项卡和扩展项的CPU使用情况,因此如果您的某个扩展程序包含一个挖矿者,则它也会显示在列表中。  青藤之道:如何预防、识别、处置十大挖矿木马 值得关注的是,在挖矿病毒的全球分布中,中国以超过50%的占比排在首位,政府、医疗、石油和天然气等网络安全相对薄弱的企事业单位成为优先的攻击目标,这充分说明中国挖矿病毒威胁的严峻性。 不过不用担心,青藤万相·主机自适应安全平台是预防、识别、处置挖矿木马最佳实践平台。  (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
