前言

系統(tǒng)配置：2核2G 3M CentOS7.9

之前的文章中『一文教你如何防御數(shù)據(jù)庫惡意攻擊』，我們講到黑客如何通過攻擊數(shù)據(jù)庫來獲取權(quán)限，以及我們需要如何處理防護服務(wù)器

接下來我們將要講述另外一種黑客攻擊的手段 —— 挖礦，本文將從黑客如何入侵，布置挖礦程序入手，逐步講解我們應(yīng)該如何排查挖礦程序，根除挖礦程序

注意：一般來說，普通云服務(wù)器僅支持安全告警檢測，不支持安全告警處理。如果您需要安全告警處理，需要使用防病毒版、高級版或企業(yè)版來加強防護

挖礦木馬

簡述

挖礦木馬會占用CPU進行超頻運算，從而占用主機大量的CPU資源，嚴重影響其他應(yīng)用的正常運行。

黑客為了得到更多的算力資源，一般都會對全網(wǎng)進行無差別掃描，同時利用SSH爆破和漏洞利用等手段攻擊主機。

部分挖礦木馬還具備蠕蟲化的特點，在主機被成功入侵之后，挖礦木馬還會向內(nèi)網(wǎng)滲透，并在被入侵服務(wù)器上持久化駐留以獲取最大收益。

同時挖礦程序具有聯(lián)動作用，在清理過程中會存在處理不及時或清理不干凈導(dǎo)致挖礦病毒反復(fù)發(fā)生、出現(xiàn)惡意腳本替換系統(tǒng)命令的現(xiàn)象，從而導(dǎo)致執(zhí)行系統(tǒng)命令時觸發(fā)惡意腳本執(zhí)行（例如：xorddos）。因此，需要在挖礦程序的一個執(zhí)行周期內(nèi)，盡快將被入侵服務(wù)器上的木馬程序和持續(xù)化后門清理干凈，否則容易導(dǎo)致挖礦病毒頻繁復(fù)發(fā)。

部門木馬會對系統(tǒng)命令進行篡改(阻止你查看惡意進程)，執(zhí)行 rpm -Va |grep bin/ 可查看系統(tǒng)文件更改情況：missing表示命令找不到了，5代表MD5發(fā)送了改變，有可能對應(yīng)的命令文件被替換或者被修改了 M則表示命令的權(quán)限發(fā)生了修改，找到異常命令后然后執(zhí)行stat /usr/bin/kill 查看文件的具體變更時間。

處理方法

1. 及時隔離主機

部分帶有蠕蟲功能的挖礦木馬在取得主機的控制權(quán)后，會繼續(xù)對公網(wǎng)的其他主機，或者以當前主機作為跳板機對同一局域網(wǎng)內(nèi)的其他主機進行橫向滲透，所以在發(fā)現(xiàn)主機被植入挖礦木馬后，在不影響業(yè)務(wù)正常運行的前提下，應(yīng)該及時隔離受感染的主機，然后進行下一步分析和清除工作。

2. 阻斷異常網(wǎng)絡(luò)通信

挖礦木馬不僅會連接礦池，還有可能會連接黑客的C2服務(wù)器，接收并執(zhí)行C2指令、投遞其他惡意木馬，所以需要及時進行網(wǎng)絡(luò)阻斷。

（1）檢查主機防火墻當前生效的iptables規(guī)則中是否存在業(yè)務(wù)范圍之外的可疑地址和端口，它們可能是挖礦木馬的礦池或C2地址

bash
復(fù)制代碼
iptables -L -n

（2）從iptables規(guī)則中清除可疑地址和端口

bash
復(fù)制代碼
vi /etc/sysconfig/iptables

（3）阻斷挖礦木馬的網(wǎng)絡(luò)通信

bash
復(fù)制代碼
iptables -A INPUT -s 可疑地址 -j DROP
iptables -A OUTPUT -d 可疑地址 -j DROP

3. 清除計劃任務(wù)

大部分挖礦木馬會通過在受感染主機中寫入計劃任務(wù)實現(xiàn)持久化，如果僅僅只是清除挖礦進程，無法將其根除，到了預(yù)設(shè)的時間點，系統(tǒng)會通過計劃任務(wù)從黑客的C2服務(wù)器重新下載并執(zhí)行挖礦木馬。

查看系統(tǒng)當前用戶的計劃任務(wù)：

bash
復(fù)制代碼
crontab -l

查看系統(tǒng)特定用戶的計劃任務(wù)：

bash
復(fù)制代碼
crontab -u username -l

查看其他計劃任務(wù)文件：

bash
復(fù)制代碼
cat /etc/crontab
cat /var/spool/cron
cat /etc/anacrontab
cat /etc/cron.d/
cat /etc/cron.daily/
cat /etc/cron.hourly/
cat /etc/cron.weekly/
cat /etc/cron.monthly/
cat /var/spool/cron/

4. 清除啟動項

除了計劃任務(wù)，挖礦木馬通過添加啟動項同樣能實現(xiàn)持久化。

可以使用如下命令查看開機啟動項中是否有異常的啟動服務(wù)。

CentOS7以下版本：

bash
復(fù)制代碼
chkconfig –list

CentOS7及以上版本：

bash
復(fù)制代碼
systemctl list-unit-files

如果發(fā)現(xiàn)有惡意啟動項，可以通過如下命令進行關(guān)閉：

CentOS7以下版本：

bash
復(fù)制代碼
chkconfig 服務(wù)名 off

CentOS7及以上版本：

bash
復(fù)制代碼
systemctl disable <服務(wù)名>

另外，還需要仔細排查以下目錄及文件，及時刪除可疑的啟動項：

bash
復(fù)制代碼
/usr/lib/systemd/system
/usr/lib/systemd/system/multi-user.target.wants
/etc/rc.local
/etc/inittab
/etc/rc0.d/
/etc/rc1.d/
/etc/rc2.d/
/etc/rc3.d/
/etc/rc4.d/
/etc/rc5.d/
/etc/rc6.d/
/etc/rc.d/

排查的時候，可以按照文件修改時間來排序，重點排查近期被創(chuàng)建服務(wù)項。

5. 清除預(yù)加載so

通過配置/etc/ld.so.preload，可以自定義程序運行前優(yōu)先加載的動態(tài)鏈接庫，部分木馬通過修改該文件，添加惡意so文件，從而實現(xiàn)挖礦進程的隱藏等惡意功能。

檢查/etc/ld.so.preload（該文件默認為空），清除異常的動態(tài)鏈接庫?？梢詧?zhí)行> /etc/ld.so.preload命令進行清除。

6. 清除SSH公鑰

挖礦木馬通常還會在~/.ssh/authoruzed_keys文件中寫入黑客的SSH公鑰，這樣子就算用戶將挖礦木馬清除得一干二凈，黑客還是可以免密登陸該主機，這也是常見的保持服務(wù)器控制權(quán)的手段。

排查~/.ssh/authorized_keys文件，如果發(fā)現(xiàn)可疑的SSH公鑰，直接刪除。

7. 清除挖礦木馬

（1）清除挖礦進程

執(zhí)行如下命令排查系統(tǒng)中占用大量CPU資源的進程

bash
復(fù)制代碼
# 實時查看進程
top -c
# 查看全部進程
ps -ef

bash
復(fù)制代碼
# 獲取挖礦進程文件路徑
ls -l /proc/$PID/exe
# 刪除挖礦程序進程
kill -9 $PID
# 最后刪除挖礦程序文件

（2）清除其它相關(guān)惡意進程

惡意進程與外部的C2服務(wù)器進行通信時，往往會開啟端口進行監(jiān)聽。執(zhí)行如下命令，查看服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽。

bash
復(fù)制代碼
netstat -antp

然后按照第一步的方法清除進程及程序即可

可以通過如下命令排查近期新增的文件，清除相關(guān)木馬

bash
復(fù)制代碼
find /etc -ctime -2 （這里指定目錄為/etc，獲取近2天內(nèi)的新增文件）
lsof -c kinsing （這里要查看文件名為kinsing的相關(guān)進程信息）

其他有效命令

bash
復(fù)制代碼
find /etc/ -name '*' | xargs grep 'kinsing' -n 2>/dev/null  (在/etc/目錄下搜索包含木馬信息kinsing的文件，/etc/可替換為其他目錄)

while true; do netstat -anplt | grep 10.112.85.71; sleep 1; done （根據(jù)礦池地址查找進程，礦池地址在主機安全-惡意請求中有告警）

實戰(zhàn)演練

之前博主的服務(wù)器經(jīng)常被異常登錄，通過查詢云服務(wù)器監(jiān)控控制臺，發(fā)現(xiàn)攻擊者 IP 地址非常多，包括很多國家，美國，德國，英國（肉雞網(wǎng)絡(luò)），但是登錄用戶很固定，都是 postgres，故據(jù)此進行如下處理。

排查木馬

正常來說，我們使用 top 命令查找占用 CPU 高的進程，木馬程序占用 CPU 會很高，然后就可以開快速定位，但是博主使用這種方法卻失效了，沒有找到占用 CPU 高的進程?？赡苁且驗橹踩氲哪抉R程序是定時挖礦，并不是一直占用 CPU，當然也可能是系統(tǒng)命令被木馬篡改了，從而隱藏了木馬進程的蹤跡。只能使用下面搜索進程方法

使用如下命令查找與 postgres 相關(guān)的進程

bash
復(fù)制代碼
ps -ef | grep post

清除木馬

我們看到有些進程后面帶了一大堆參數(shù)-t 515 -f 1 -s 12 -S 8 -p 0 -d 1 p ip，如果比較敏感的話我們就可以猜出來這是木馬了，很明顯我在使用kill -9 <PID> 命令刪除進程之后，隔了大概 20 秒，該進程又重新啟動，確認是木馬無疑?；蛘哒f我們對虛擬幣種比較熟悉的情況下，也可以看出 blitz 是一種虛擬幣。

確定木馬進程之后流程就會順暢很多，按照上面的步驟處理即可，但是注意，并不是所有木馬程序入侵都需要全部處理步驟，酌情處理即可。

博主就是在處理木馬的過程中，中間業(yè)務(wù)需要重啟服務(wù)器，重啟之后就發(fā)現(xiàn)木馬程序消失，并且木馬程序已經(jīng)銷毀，說明入侵者沒有啟用自啟動，沒有更深度的入侵

?最后

為了幫助大家更好的學(xué)習(xí)網(wǎng)絡(luò)安全，小編給大家準備了一份網(wǎng)絡(luò)安全入門/進階學(xué)習(xí)資料，里面的內(nèi)容都是適合零基礎(chǔ)小白的筆記和資料，不懂編程也能聽懂、看懂，所有資料共282G，朋友們?nèi)绻行枰拙W(wǎng)絡(luò)安全入門+進階學(xué)習(xí)資源包，可以點擊免費領(lǐng)取（如遇掃碼問題，可以在評論區(qū)留言領(lǐng)取哦）~

??有需要的小伙伴，可以點擊下方鏈接免費領(lǐng)取或者V掃描下方二維碼免費領(lǐng)取??

??CSDN大禮包??：全網(wǎng)最全《網(wǎng)絡(luò)安全入門&進階學(xué)習(xí)資源包》免費分享（安全鏈接，放心點擊）??

?文章來源地址http://www.zghlxwxcb.cn/news/detail-827777.html

1??零基礎(chǔ)入門

① 學(xué)習(xí)路線

對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準備了詳細的學(xué)習(xí)成長路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個大的方向?qū)W習(xí)準沒問題。

② 路線對應(yīng)學(xué)習(xí)視頻

同時每個成長路線對應(yīng)的板塊都有配套的視頻提供：

因篇幅有限，僅展示部分資料

2??視頻配套資料&國內(nèi)外網(wǎng)安書籍、文檔

① 文檔和書籍資料

② 黑客技術(shù)

因篇幅有限，僅展示部分資料

??CSDN大禮包??：全網(wǎng)最全《網(wǎng)絡(luò)安全入門&進階學(xué)習(xí)資源包》免費分享（安全鏈接，放心點擊）??

?

3??網(wǎng)絡(luò)安全源碼合集+工具包

4??網(wǎng)絡(luò)安全面試題

5??匯總

所有資料 ?? ，朋友們?nèi)绻行枰?《網(wǎng)絡(luò)安全入門+進階學(xué)習(xí)資源包》，掃碼獲取~

??CSDN大禮包??：全網(wǎng)最全《網(wǎng)絡(luò)安全入門&進階學(xué)習(xí)資源包》免費分享（安全鏈接，放心點擊）??

?

到了這里，關(guān)于服務(wù)器『反挖礦』防護指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！