當(dāng)前位置 主頁(yè) > 技術(shù)大全 >
近期,多起針對(duì)Linux服務(wù)器的挖礦攻擊事件頻發(fā),不僅嚴(yán)重影響了服務(wù)器的正常運(yùn)行,還導(dǎo)致了嚴(yán)重的資源浪費(fèi)和潛在的安全風(fēng)險(xiǎn)
本文將通過(guò)一個(gè)典型的Linux挖礦案例,詳細(xì)剖析挖礦木馬的入侵、運(yùn)行、檢測(cè)和清除過(guò)程,旨在提高讀者對(duì)挖礦木馬的認(rèn)識(shí)和防范能力
一、事件背景 某公司客戶發(fā)現(xiàn)其服務(wù)器運(yùn)行異常,表現(xiàn)為CPU資源占用持續(xù)處于100%狀態(tài),服務(wù)器響應(yīng)緩慢,甚至偶爾出現(xiàn)卡頓現(xiàn)象
經(jīng)過(guò)初步檢查,技術(shù)人員懷疑服務(wù)器可能遭受了挖礦木馬的攻擊
二、挖礦木馬的發(fā)現(xiàn) 1. CPU使用情況分析 首先,技術(shù)人員使用`top`命令查看服務(wù)器的CPU使用情況,發(fā)現(xiàn)存在一個(gè)名為`kdevtmpfsi`的可疑進(jìn)程,該進(jìn)程占用了大量的CPU資源
通過(guò)進(jìn)一步搜索,確認(rèn)`kdevtmpfsi`是一個(gè)知名的挖礦病毒
2. 挖礦木馬文件路徑查找 使用`ps -ef | grep kdevtmpfsi`命令找到`kdevtmpfsi`進(jìn)程的詳細(xì)信息,并記錄下進(jìn)程號(hào)
然后,使用`kill -9`命令終止該進(jìn)程,并刪除位于`/tmp/kdevtmpfsi`的執(zhí)行文件
然而,不久后該進(jìn)程再次運(yùn)行,表明存在守護(hù)程序或計(jì)劃任務(wù)
3. 守護(hù)進(jìn)程和計(jì)劃任務(wù)的排查 通過(guò)`systemctlstatus`命令和`crontab -l`命令,技術(shù)人員發(fā)現(xiàn)`kdevtmpfsi`有守護(hù)進(jìn)程,并存在可疑的計(jì)劃任務(wù)
這些計(jì)劃任務(wù)每隔一段時(shí)間就會(huì)重新啟動(dòng)挖礦木馬,使其難以被徹底清除
三、挖礦木馬的清除 1. 終止挖礦木馬進(jìn)程 首先,使用`kill -9`命令終止所有與`kdevtmpfsi`相關(guān)的進(jìn)程,包括守護(hù)進(jìn)程和挖礦木馬本身
然后,使用`killall -9 kdevtmpfsi`命令確保所有相關(guān)進(jìn)程都被終止
2. 刪除挖礦木馬文件 刪除位于`/tmp/kdevtmpfsi`的執(zhí)行文件,并使用`find / -name kdevtmpfsi`命令搜索整個(gè)系統(tǒng),找到并刪除所有與`kdevtmpfsi`相關(guān)的文件
在搜索過(guò)程中,發(fā)現(xiàn)`/dev/shm/kdevtmpfsi`也存在病毒文件,同樣進(jìn)行刪除
3. 排查和刪除計(jì)劃任務(wù) 使用`crontab -e`命令編輯計(jì)劃任務(wù)列表,刪除所有與挖礦木馬相關(guān)的計(jì)劃任務(wù)
同時(shí),檢查`/var/spool/cron/`、`/etc/crontab`、`/etc/cron.d/`、`/etc/cron.hourly`、`/etc/cron.daily`、`/etc/cron.weekly`和`/etc/cron.monthly`等目錄,確保沒(méi)有新的挖礦木馬計(jì)劃任務(wù)被添加
4. 排查開(kāi)機(jī)啟動(dòng)項(xiàng) 檢查系統(tǒng)的開(kāi)機(jī)啟動(dòng)項(xiàng),確保沒(méi)有與挖礦木馬相關(guān)的啟動(dòng)項(xiàng)被添加
這可以通過(guò)檢查`/etc/rc.local`文件、`/etc/init.d/`目錄以及使用`systemctl list-unit-files --type=service`命令來(lái)實(shí)現(xiàn)
四、系統(tǒng)恢復(fù)與加固 1. 檢查系統(tǒng)日志 檢查L(zhǎng)inux SSH登錄審計(jì)日志,CentOS與RedHat的審計(jì)日志路徑為`/var/log/secure`,Ubuntu與Debian的審計(jì)日志路徑為`/var/log/auth.log`
通過(guò)日志分析,找到挖礦木馬入侵的時(shí)間點(diǎn)和路徑,以便進(jìn)一步排查和修復(fù)
2. 排查后門和漏洞 使用掃描工具對(duì)Web網(wǎng)站進(jìn)行后門掃描,找到并刪除所有與挖礦木馬相關(guān)的后門文件
同時(shí),對(duì)黑客的入侵點(diǎn)進(jìn)行修復(fù),并部署Web安全設(shè)備(IPS)、殺毒軟件和流量監(jiān)控設(shè)備,以防止類似攻擊再次發(fā)生
3. 系統(tǒng)加固 啟用SSH公鑰登錄,禁用密碼登錄,以減少黑客利用暴力破解手段入侵的可能性
對(duì)于云主機(jī),完善安全策略,僅開(kāi)放必要的端口(如80和443),并限制出口流量
對(duì)于物理機(jī),可以通過(guò)硬件防火墻或iptables來(lái)設(shè)置出入口流量規(guī)則
4. 定期更新和打補(bǔ)丁 定期給主機(jī)打補(bǔ)丁,修復(fù)已知的安全漏洞
同時(shí),關(guān)注最新的安全動(dòng)態(tài)和威脅情報(bào),及時(shí)調(diào)整安全策略
五、挖礦木馬的危害與防范 1. 挖礦木馬的危害 挖礦木馬會(huì)占用大量的CPU資源,導(dǎo)致服務(wù)器運(yùn)行緩慢,甚至崩潰
同時(shí),挖礦過(guò)程中會(huì)消耗大量的電力,加快硬件老化速度
此外,挖礦木馬還可能使用戶的計(jì)算機(jī)成為黑客的控制對(duì)象,從而竊取個(gè)人信息和金融數(shù)據(jù),造成財(cái)產(chǎn)損失
2. 挖礦木馬的防范 防范挖礦木馬需要采取多層次的安全措施
首先,加強(qiáng)服務(wù)器的安全管理,定期更新系統(tǒng)和軟件補(bǔ)丁,關(guān)閉不必要的服務(wù)和端口
其次,使用強(qiáng)密碼和安全的認(rèn)證方式,如SSH公鑰登錄
