挖矿病毒
⛰️

挖矿病毒

Published
March 27, 2023
Category
应急响应与取证
Subcategory
事件响应流程与策略
Tags
挖矿病毒
Author
KK
Notes
本文介绍了一种挖矿病毒的应急响应与取证过程。文章分析了事件的排查过程和溯源分析,并提供了清除病毒和漏洞修复的方法。此外,文章还总结了几种预防措施,以防止服务器被感染挖矿程序。
应急场景
安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源
事件分析
A、排查过程
  1. 登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程
  1. 下载 logo.jpg,包含脚本内容
  1. 到这里,我们可以发现攻击者下载 logo.jpg 并执行了里面了 shell 脚本,那这个脚本是如何启动的呢?
  1. 通过排查系统开机启动项、定时任务、服务等,在定时任务里面,发现了恶意脚本,每隔一段时间发起请求下载病毒源,并执行 。
B、溯源分析
  1. 在 Tomcat log 日志中,我们找到这样一条记录,对日志中攻击源码进行摘录如下:(包含cron定时任务和Struct 字样)
  1. 可以发现攻击代码中的操作与定时任务中异常脚本一致,据此推断黑客通过 Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。
C、清除病毒
  1. 删除定时任务: crontab -r
  1. 终止异常进程: kill -9 PID
D、漏洞修复
  1. 升级 struts 到最新版本
防范措施
针对服务器被感染挖矿程序的现象,总结了几种预防措施:
  1. 安装安全软件并升级病毒库,定期全盘扫描,保持实时防护
  1. 及时更新 Windows 安全补丁,开启防火墙临时关闭端口
  1. 及时更新 web漏洞补丁,升级web组件