本文介绍了一种挖矿病毒的应急响应与取证过程。文章分析了事件的排查过程和溯源分析,并提供了清除病毒和漏洞修复的方法。此外,文章还总结了几种预防措施,以防止服务器被感染挖矿程序。
应急场景
安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源
事件分析
A、排查过程
- 登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程
- 下载 logo.jpg,包含脚本内容
- 到这里,我们可以发现攻击者下载 logo.jpg 并执行了里面了 shell 脚本,那这个脚本是如何启动的呢?
- 通过排查系统开机启动项、定时任务、服务等,在定时任务里面,发现了恶意脚本,每隔一段时间发起请求下载病毒源,并执行 。
B、溯源分析
- 在 Tomcat log 日志中,我们找到这样一条记录,对日志中攻击源码进行摘录如下:(包含cron定时任务和Struct 字样)
- 可以发现攻击代码中的操作与定时任务中异常脚本一致,据此推断黑客通过 Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。
C、清除病毒
- 删除定时任务:
crontab -r
- 终止异常进程:
kill -9 PID
D、漏洞修复
- 升级 struts 到最新版本
防范措施
针对服务器被感染挖矿程序的现象,总结了几种预防措施:
- 安装安全软件并升级病毒库,定期全盘扫描,保持实时防护
- 及时更新 Windows 安全补丁,开启防火墙临时关闭端口
- 及时更新 web漏洞补丁,升级web组件