Linux 挖矿木马

作者:顾大明 审核人:高荣来源:信息中心创建部门:信息中心日期:2020-06-18 16:36:26人气:70

事件背景

       最近接到客户反馈,发现 Linux 机器卡顿,CPU 使用量超标高达 90%以上,怀疑被挖矿, 深信服 EDR 安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的 Linux 挖矿木马,并对此样本进行了深入的研究分析。

样本分析

1.对一系列矿池地址进行 DNS 查询请求,如下:


pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org 、 xmr-us-west1.nanopool.org 、 xmr-asia1.nanopool.org xmr-jp1.nanopool.org、xmr-au1.nanopool.org、xmr.crypto-pool.fr fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com pool.supportxmr.com 、 xmr-usa.dwarfpool.com 、 xmr-eu.dwarfpool.com xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com xmr.f2pool.com 、 xmr.pool.minergate.com 、 monerohash.com pool.monero.hashvault.pro、gulf.moneroocean.stream、us-east.cryptonight-hub.miningpoolhub.com europe.cryptonight-hub.miningpoolhub.com asia.cryptonight-hub.miningpoolhub.com
2.通过 chattr -i 删除掉文件保护属性,重新感染主机系统,如下:
























[aio][async][ata][ata_aux][bdi-default][cpuset][crypto][ecryptfs-kthrea][events][ext4-dio-unwrit][flush-251:0][flush-8:0][jbd2][kacpi_hotplug][kacpi_notify][kacpid][kblockd][kconservative][kdmflush][khelper][khubd][khungtaskd][kintegrityd][kmmcd][kmpath_handlerd][kmpathd][kondemand][kpsmoused][kseriod][ksmd][ksnapd][ksoftirqd][kstriped][ksuspend_usbd][kswapd0][kswapd1][kthreadd][migration][netns][pm][scsi_eh_0][sync_supers][usbhid_resumer][watchdog][xfs_mru_cache][xfsaild][xfsbufd][xfsconvertd][xfsdatad][xfslogd][xfssyncd]
18.内置的挖矿程序,通过配置文件启动挖矿程序,进行挖矿,如下:







PLwUgsGnr1zzDKuFSkZaF1
通过钱包地址查询,如下:

解决方案

该 Linux 挖矿木马清除解决方案如下:
1.结束相关的进程,通过 ps 查找相关进程,挖矿的进程名在随机进程列表中




3.清除/usr/lib/目录下的 libiacpkmn.so.3 文件,清除文件保护属性后删除