首页天道酬勤云服务器比特币挖矿流程(怎么买云挖矿)

云服务器比特币挖矿流程(怎么买云挖矿)

admin 12-04 08:14 412次浏览

1、概述

安田CERT与哈尔滨工业大学联合实验室通过网络安全监控,在Linux系统中发现了一个挖掘木马。在挖掘木马的扫描策略中,以云平台段的硬编码IP地址作为起始地址。分析人士判断,该挖掘木马针对的是云平台服务器,安田CERT基于这一特性将该挖掘木马命名为“云铲”。

挖掘木马运行后,通过服务器下载三个文件(主模块、恶意链接库、开源挖掘程序)。主模块具有对扫描目标进行SSH蛮力破解,进而传播挖掘木马的功能;运行下载的挖掘程序进行挖掘;将恶意链接库的路径写入预加载文件,通过屏蔽相关命令,实现对恶意文件实体和恶意进程的搜索;将ssh公钥写入根用户。目标系统的SSH目录,实现root用户对系统的长期访问。在主模块扫描的初始阶段,以云平台服务器的硬编码IP地址作为起始地址,包括该IP地址的同一个网段的IP地址和相邻网段的IP地址。然后随机扫描外部网段的IP地址和样本所在网络的外部网络IP地址,同时也扫描内部网络的相关IP。

安田CERT通过对事件的详细分析,在报告中给出了相应的检测、处置和加固方案。

特别感谢:中国科学技术大学网络信息中心为本报告提供了相关帮助。

目前,安田智家终端防御系统(Linux版)可以实现对挖掘木马的查杀和有效保护。

PTD系统可以检测流量中木马的传播,检测横向移动过程中的主机发现行为和端口扫描行为。同时支持SSH、TELNET、RDP等多种可控协议的暴力密码猜测方式的检测。以便有效地发现这种横向移动传输方法。

00-1010通过分析判断,文件BIOS集是挖掘木马的主要模块。目标主机运行后,首先对相关目标执行SSH蛮力破解,同时在/root/中创建authorized_keys文件。SSH/目录,并将SSH公钥信息写入其中,以便后续访问目标主机。其次,下载并运行挖掘程序(kthreadd)和新的主模块(bioset),下载恶意链接库文件(libcurl.so.2.17.0),并将该文件写入/etc/ld.so.preload,实现相关命令的预加载,以屏蔽这些命令查看挖掘木马的相关文件和进程。

表2-1挖掘木马相关文档

2.1主要模块分析

2.1.1下载恶意文件bioset、kthreadd、libcurl.so.2.17.0

表2-2主模块标签样本

模块连接远程服务器http://www.fullskystar.top域名注册于2020年10月14日,通过POST请求指定参数下载文件。

表2-3提交参数

2.1.2添加攻击者的SSH公钥,长时间控制系统。

图2-1将关键信息写入文件

攻击者公钥:

SSH-rsa

aaaaab 3n Zac 1 YC 2 eaaaabibwaaaqeav 54 nagwgwm 626 zrsui0 bnvygjgs/ux7v 5 hklbzyfhem 3 aa 0 gfu 5 eqyqdnhtpo1 dakxwj 97mm M5 a2 vaftn n6 kuwnyrzpadkiuwmhunsw7e 1 s18 cltcbtrsc 0 rrdtnirltrshlm 3 CNN M

skKTW/vWz/oE3ll4MMQqexZlsLvMpVVlGq6t3XjFXz0ABBI8GJ0RaBS81FS2R1DNSCb+zORNb6SP6g9hHk1i9V5PjWNqNGXyzWIrCxLc88dGaTttUYEoxCl4z9YOiTw8F5S4svbcqTTVIu/zt/7OIQixDREGbddAaXZXidu+ijFeeOul/lJXEXQK8eR1DX1k2VL+w== rsa 2048-040119

2.1.3 使用内置的密码表对其它IP进行SSH暴力破解,用户名为root,传播挖矿木马。

图 2-2 利用密码表进行SSH暴力破解

该挖矿木马使用密码表对相关网段IP进行SSH暴力破解,密码数量共计2000多个,部分如下。

图 2-3 部分密码表

2.1.4 主要针对某云平台相关主机进行SSH暴力破解

在挖矿木马母体中存在一个硬编码的IP地址:8.129.*.*,该IP地址隶属于广东省深圳市某云平台。其SSH暴力破解对象主要以该IP地址作为起始地址,包括其同网段和相邻网段的IP。而IP地址8.129.0.0-8.129.255.255的范围隶属于某云平台。

图 2-4 某云平台服务器网段扫描

其中还针对内网、样本所在的外网IP以及部分境外网段进行IP扫描。

图 2-5 境外网段扫描

2.2 挖矿程序分析

表 2-4 挖矿程序

挖矿程序(kthreadd)运行后连接矿池地址www.fullskystar.top:443进行挖矿。挖矿程序使用upx壳进行了压缩,由开源挖矿程序xmrig修改而来,在此不做详细分析。配置信息如下:

图 2-6 挖矿程序配置信息

2.3 恶意链接库分析

表 2-5 恶意链接库

该恶意程序为动态链接库文件,通过LD_PRELOAD方式被加载。主要功能是将恶意文件实体和相关的网络链接进行隐藏,当用户使用ls和netstat等命令进行查看时,无法发现恶意文件的存在。对4个字符串ld.so.preload、bioset、kthreadd和libcurl.so.2.17.0进行过滤。

图 2-7 恶意链接库屏蔽的相关信息

当使用命令top,htop命令查看进程,使用命令w查看登录用户,使用uptime查看使用时间,使用ss,netstat查看网络操作时,如果存在上面4个字符串,则不进行显示,隐藏恶意文件相关信息。

图 2-8 恶意链接库注入的相关命令文件

3、检测、处置与加固方案

3.1 检测

使用安天智甲终端防御系统(Linux版本)在主机侧检测。

图 3-1 安天智甲检测结果

使用安天探海威胁检测系统(PTD)在网络侧检测。

图 3-2 安天探海检测下载挖矿程序报警

图 3-3 安天探海检测SSH暴力破解

网络手动检测方法:

网关或流量镜像处Linux系统上执行如下命令进行检测,短时间内观察是否有异常的SYN数据包来发现类似的对外扫描:tcpdump -i < interface> -nn "tcp port 22 and ((tcp[tcpflags]&(tcp-syn)!=0)&&(tcp[tcpflags]&(tcp-ack)==0))"

图 3-4 流量检测

3.2 处置

由于该挖矿木马通过预加载恶意链接库,给处置带来一定阻碍,清除过程复杂。具体方法如下:

首先,安装busybox,利用该命令结合ps、kill命令结束路径为“/usr/ymdqq/bioset”、“/usr/bio/kthreadd”的进程;其次,将下列文件只读属性去除。并将/etc/ld.so.preload文件内容置空;最后删除下列文件中除/etc/ld.so.preload文件之外的四个文件,以上操作完成后,可在此确认相关文件是否正常删除,若删除完毕,则完成该挖矿木马的清除。

/etc/ld.so.preload/lib/libcurl.so.2.17.0/usr/ymdqq/kthreadd/usr/ymdqq/bioset/root/.ssh/authorized_keys

以下代码为清除该挖矿木马的shell脚本代码,该代码仅在Centos7中测试,未在其他系统上测试,请参考使用。(若删除root用户的authorized_keys文件会影响实际业务,可手工删除木马写入的攻击者公钥。)

#!/usr/ymdqq/bashwget https://busybox.net/downloads/ymdqqaries/1.28.1-defconfig-multiarch/busybox-x86_64 && mv busybox-x86_64 busybox && chmod +x busybox && mv busybox /usr/ymdqq/busybox ps -ef |grep /usr/ymdqq/kthread |grep -v color |awk '{print $1}'| xargs busybox killbusybox ps -ef |grep /usr/ymdqq/bioset |grep -v color |awk '{print $1}'| xargs busybox killbusybox chattr -i /etc/ld.so.preloadbusybox echo "" >> /etc/ld.so.preloadbusybox chattr -i /usr/ymdqq/kthreaddbusybox rm -rf /usr/ymdqq/kthreaddbusybox chattr -i /usr/ymdqq/biosetbusybox rm -rf /usr/ymdqq/biosetbusybox chattr -i /root/.ssh/authorized_keysbusybox rm -rf /root/.ssh/authorized_keysbusybox chattr -i /lib/libcurl.so.2.17.0busybox rm -rf /lib/libcurl.so.2.17.0

3.3 加固

1. 建议更换root用户密码,密码位数至少为15位,密码元素至少包含三种元素(大小写字母,数字,符号)。

2. 建议在不影响业务的情况下,root用户尽量不对外提供远程访问,可使用其他自定义用户对服务器进行远程维护和管理。

Java设计模式之原型模式怎么实现即使在c++中realloc()失败拦截器在ssm和springboot中的使用雷士灯具管理系统
尚学堂 html(北京尚学堂程序员宝典) 百度工作待遇(百度程序员加班多吗)
相关内容