被迫当了几天矿工，你还会傻傻的给服务器设置弱口令吗

wuhuXXX

门罗币挖矿脚本

一、前言近期服务器及时发现捕获了一个病毒样本，该样本为门罗币执行脚本，入侵到服务器后执行脚本下载门罗币挖矿软件进行挖矿操作。

二、入侵分析登录服务器时，上次登录信息为一个陌生IP,IP,最后登录时间为2021/5/4 20：10。且Linux服务器主机CPU大量占用，疑似中挖矿病毒。

三、排查过程[=Arial]1）检查系统日志使用last 命令查看系统日志


发现有异常登录信息，异常IP，时间为2021/5/4  20:10。判断该ip入侵释放恶意程序。2）检查异常进程使用top命令查看进程 发现一个名为xmfig的进程占用大量CPU运行。


通过上述截图可以看到进程对应的 PID 为 109335，根据进程 ID 查询一下产生进程的程序路径为/var/tmp/./xmrig。


访问该目录提取该文件，发送至沙箱进行分析：
经检测，64家安全供应商中14个安全供应商将此文件标记为恶意文件。然后通过百度搜索发现该程序为挖矿程序。对该进程关闭并删除。程序介绍：xmrig 是目前市面上最流行、通用性最好、支持算法最多的 CPU 挖矿软件，也是门罗币挖矿最常用的软件。xmrig-skypool 是天池根据矿池的机枪切换特性定制的 xmrig 版本，版本号跟随 xmrig 保持更新。xmrig-skypool 主要定制的功能是在第一次启动时对天池矿池支持的算法进行算力测试，便于给后续实时计算最佳收益的挖矿币种时提供基准数据。3）检查系统计划任务为彻底清除残留，搜索系统定时任务中是否拥有可疑计划。使用crontab -l 检测定时任务，发现有陌生的定时任务脚本black的自启动、xmrig的自启动。Xmrig已经确定为挖矿程，后续继续分析black.使用find / -name black  查找该文件，获取该文件的路径


提取该文件分析，发现为主要恶意脚本。保留样本并清楚可疑定时任务。4）检查系统用户使用cat /etc/passwd  命令查询是否有异常的系统用户。发现异常用户xy。对该用户查询其用户权限级别，确定该用户为异常root特权用户。


针对该用户进行删除。

四、脚本分析提取脚本进行详细分析，获取其感染文件特征。1. 下载矿工文件访问地址http://transfer.sh/GgVQs/xmrig。在/var/tmp目录下，下载xmrig文件并赋予777权限。


2. 检测创建root权限xy用户，修改密码检测系统用户目录中是否有xy用户，不存在则添加该用户，赋予root权限，添加密码。


3. 创建其他脚本文件创建文件夹mkdir /usr/.SQL-Unixmkdir /usr/.SQL-Unix/.SQL并在文件夹mkdir /usr/.SQL-Unix/.SQL下写入数据命名为/var/tmp/.SQL-Unix/.SQL/.db 的文件


在~/目录下写入数据命名为~/.bashrc文件和~/.bash_profile文件。


写入authorized_keys到root目录下.ssh中。该Key目的是为了实现ssh免密登录。写入ssh公钥后门到key文件，使其他服务器后续可以直接登录该主机。Key为：“AAAAB3NzaC1yc2EAAAABJQAAAQEAsNCvUO4OIcXgy3PnG9K/lJmshCVj66RgrfuWSnB3q8928PVbgCL5F+ySFL+qeWRVIMWD0a6AQdj6H5sO3L22yXWLTwXkQFNDkmPrwpbIZcS3zuX2WYprlb8DZ/xHfBI8Q0I5mDXeSuQOzBwNZnQCh+FzhgRNxpt0pcveC7duxMZC5sH1AQj39j+rxP58NVQNRm3vx3cQyeVW6fbqgCXsmDgr7oxwuIV3dqELL5gtaY5b3JmBBa2WieaVX+Nf1RKyGaCfqreQ5cVE3O1wPc0jWb3Tv1VazTF8ddKPy4nia5w9l470/gEZB4Bxxa9ibdZwfSotffs9PokXUUGIpZgZdw”4. 将挖矿数据显示给目标url显示格式写入/tmp/.send.json中将数据发送给url显示。url：https://discord.com/api/webhooks/836684301373538315/PcQs3IKIc79v6ReSNgGBhQvSLUaSNu02otC2dnzLJzbubwcFftillrvdw7yFsolYbFx2


访问url显示：

4

5. 执行定时任务脚本写入定时任务设置脚本并执行，设置后删除脚本。

3

6. Locatie/.b4nd1d0写入脚本，赋予777权限执行写入脚本并赋予777权限执行b4nd1d0脚本功能为检测挖矿程序是否存在，不存在则启动。

2

7. 追加开机自启动服务并启动该服务写入数据到/usr/bin/sshd文件将sshd文件写入/lib/systemd/system/myservice.service服务文件设置644权限并设置开机自启动，启动服务

开机启动

其目为持续化攻击操作，让其自启动脚本程序检测文件tmp路径下是否有xmrig文件并执行。

五、加固修复建议
1. 加强服务器密码对服务器密码进行更改，避免使用弱口令密码
2. 关闭删除挖矿程序/var/tmp/./xmrig
3. 删除恶意脚本以下文件均可作为该病毒样本主要文件感染特征/var/tmp/blackmkdir /usr/.SQL-Unix文件夹以及文件夹中所有内容~/.bashrc文件和~/.bash_profile文件/var/tmp/.SQL-Unix/.SQL/.db/root/.ssh/authorized_keys/tmp/.send.json/var/tmp/.b4nd1d0/usr/bin/sshd/lib/systemd/system/myservice.service
4. 删除xy用户
5. 清空定时任务定时任务使恶意软件惯用的持久化攻击手段，应定时检查系统是否出现可疑定时任务。
6. 安装杀毒软件定时防护clamav的linux版本病毒查杀软件设置定时扫描保护服务器。

a525

我也被迫当过矿工，只怪年少不懂事！
双十一在Ucloud买的3年服务器，271￥。装完mysql，jdk，redis，MongoDB后，用了两天就发现中了挖矿病毒。之后各种百度Linux怎么杀毒！又重装系统好几次，每次装完过一天就又有了，怼过客服。后来偶然发现，服务器装redis不能开6379端口，开了就中病毒。之后我又重装，换了个端口，就没中病毒了。总之，服务器不要开常用端口，最好是自定义软件端口，并设置密码。

hxd97244

服务器弱口令就像没穿衣服的女人，时刻诱惑别人去搭讪，还是设置个复杂的，过段时间改 一改最好。

戴草帽的小P

hxd97244 发表于 2021-6-2 11:04
服务器弱口令就像没穿衣服的女人，时刻诱惑别人去搭讪，还是设置个复杂的，过段时间改 一改最好。

低配置的服务器人家看都不会看，就像我的那台123456很安全

hf1986110

服务器还是要加强安全设置啊

topckey

主要原因是密码太弱导致入侵的吗?

ydydq

看了大佬的思路。瞬间清醒了

yangbo616599

虽然看不懂 但是就喜欢给大佬点赞

meng914120

前来学习，服务器要加强防御

Abby_小杰

我这几百来台服务器，挖的我脑壳痛😭想跑路了

有、

写的真详细。好好学