求助服务器被挖矿程序入侵,如何排查

求助服务器被挖矿程序入侵,如何排查,第1张

 新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接

服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般

会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这

就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客

户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器,查看当前的进程发现有一个特别的进程占用了百分之100

的CPU,而且会持续不断的占用,我们查了查该进程,发现不是linux的系统进程,我们对进程

的目录进行查看,发现该进程是一个木马进程,再仔细进行安全分析,才确定是目前最新的挖

矿木马病毒,挖的矿分很多种,什么比特币,什么罗门币的,太多太多,看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看

里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行计划任务,

导致客户怎么重启都于事无补,还是卡的要命。该木马代码还调用了一些Linux系统命令,bashe

bashd来挖矿,该命令是最直接也是占用CPU到顶峰的关键,太粗鲁了,这样的挖矿本身就会让

客户发现问题,看来挖矿者只顾着赚钱,不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,

仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查

当前进程是否存在,不存在就启动挖矿木马,进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病

毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,

客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开

发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重

的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,

SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器

一切稳定运行,网站打开正常。

不会,

区块链不联网不就成单机游戏啦

方法/步骤

1、现在有的浏览器推出了防止被挖矿的设置,只要打开设置,就可以有效的防止被挖矿。在打开的浏览器主界面,点击右上角的“菜单”按钮。

2、在打开的下拉菜单中点击“设置”菜单项。

3、接下来在打开的浏览器选项窗口中,点击左侧边栏的“安全设置”菜单项。

4、在右侧窗口中找到“挖矿防护”设置项,并勾选其前面的复选框。

5、这样我们的浏览器就不会被恶意代码攻击,不会出现被挖矿的情况了。

6、我们也可以在Chrome或是Firefox浏览器安装插件防止被挖矿。搜索找到Nocoin插件,然后点击“添加到Firefox”按钮。

7、接下来就会d出一个确认添加的提示,点击“添加”按钮。

8、安装完成后,NoCoin就会自动添加到插件工具栏上,这样就可以有效的保护我们的浏览器了。

针对挖矿蠕虫对SSH/RDP等进行暴力破解的攻击方式,云防火墙的基础防御支持常规的暴力破解检测方式,如登录或试错频次阈值计算,对超过试错阈值的行为进行IP限制,还可用户的访问习惯、访问频率基线的基础上,结合行为模型,保证用户正常访问不被拦截的同时对异常登录进行限制。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/8654650.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-19
下一篇 2023-04-19

发表评论

登录后才能评论

评论列表(0条)

保存