安基网 欢乐生肖 安全 攻防案例 查看内容

某高校3333端口挖矿木马应急应急处理案例分享

2019-10-31 10:17| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 一、背景介绍2018年以来,加密货币市场出现震荡,很多币种币值较年初都有一定程度的缩水,但是由于“免费电”挖矿这种零投入模式的存在,币市降温似乎并没有给各类挖矿木马的传播者造成太大的影响,挖矿木马仍然是黑产团伙重要的盈利点。对于高校内部安全来说,无论是办公、教学、科研还是数据中心等环 ...

一、背景介绍


2018年以来,加密货币市场出现震荡,很多币种币值较年初都有一定程度的缩水,但是由于“免费电”挖矿这种零投入模式的存在,币市降温似乎并没有给各类挖矿木马的传播者造成太大的影响,挖矿木马仍然是黑产团伙重要的盈利点。对于高校内部安全来说,无论是办公、教学、科研还是数据中心等环境,挖矿木马都可以被定义为高危威胁。

二、挖矿软件来源

1、高校教职工、学生


如上图是某挖矿软件,在一些论坛或者社交网络中,不难找到“免费”挖矿的践行者分享经历的信息。他们或利用手头的办公资源,或利用自身管理的服务器和其他网络设备,通过部署矿机的方式进行挖矿行为。这种行为最直接的后果是:高校教职工、学生获取不正当利益的同时,致使高校利益遭受损失。而一旦被发现,相关管理责任人也可能会因此承担相应的法律责任。

2、主机感染


如果高校服务器密钥管理不善或软件补丁更新不及时,则可能因为弱口令、应用程序漏洞、服务业务漏洞(比如ftp、web和其中间件、数据库)、操作系统本身漏洞等原因,被攻击者成功入侵,植入恶意挖矿代码。

一个比较突出的实例是:今年上半年由于Redis提权漏洞的出现,大量攻击者利用该漏洞入侵Linux服务器进行扫描和挖矿,而被挖矿恶意代码感染的服务器,从而导致性能降低甚至死机的状况出现。

3、浏览器感染


上图是门罗币挖矿,几年前,随着加密货币价格持续走高,“浏览即挖矿”这一黑产模式出现在我们的视野当中。网页中植入一段JS代码,用户浏览时即可在主机挖矿,在加密货币具备价值的前提下,这种变现模式比流量和广告变现要容易得多。利益驱动下,多个网站,甚至广告平台被曝光网页植入挖矿脚本的情形出现也就不足为奇了。

对于高校机构来说,相关人员浏览植入挖矿脚本的网页,会对计算机性能、电力造成损耗,而高校网站如果因为安全问题被植入挖矿代码,则是对高校信誉,乃至形象的损害。

三、新型挖矿木马处理过程

1、行为分析

近日,某高校内网发现大量挖矿告警,告警端口为3333,产生告警截图如下:



被感染主机会向境外等黑IP发送登录信息,目标通讯端口为TCP 3333,登录信息为明文,其中包含了用户ID、算法等明显电子加密货币通讯信息,为显著的挖矿木马特征,木马执行目录为如下路径:



木马回连登录请求分析,如下图所示,是一个明显的电子货币登录过程。



2、挖矿木马的变种

在对高校进行安全服务的过程中,我们发现了大量挖矿木马的变种情况,其中部分挖矿木马,出现高度隐蔽性、传播方式多样、利用漏洞角度刁钻等行为。其中某高校在文件上传对应的.jsp类型webshell挖矿木马如下图代码所示。具有高度隐蔽性,CPU占用率稳定控制在50percent左右,难以被发现,最后发现.loop计划任务,排查启动项和tmp目录,定位寻找到具有挖矿代码的jsp木马,此木马功能覆盖linux和windows双系统。随着挖矿木马的变种和利用手段增加,我们急需对高校业务端和主机端进行双重漏洞排查,并进行加固,从根本上解决问题,以不变应万变。



3、处理方法(仅对于此类型木马)

此木马应急响应处理方式:

1)netstat -ano查看异常端口请求3333

2)查看CPU使用率是否正常

3)删除如下:


4)删除启动项异常进程

5)安装木马查杀防护软件

6)更新服务器补丁和各类中间件版本

7)进行漏扫扫描、专业人工渗透或代码审计和漏洞修复工作

目前,智圣新创运维工程师已逐一对我们的驻点用户提供相应的安全加固服务,其中包括木马排查、补丁更新、端口和服务的封禁工作。

四、总结及建议

网络攻击形式是有趋利性的,从传统的木马盗号到勒索软件,再到现在各类挖矿木马,本质上都是一个在尽可能短的时间内攫取更多利益的过程。现在很多面向个人和企业的杀软也逐渐推出防挖矿功能,但是对高校来说,仅仅依靠杀软在终端提供支持还远远不够。需要的是从根本的漏洞修复、应急响应机制、人员行为管理角度去完善系统。

木马的变种多种多样,但是其根本原因无非就是利用漏洞植入一段执行特定功能的计算机程序。我们在对此程序分析的过程中,了解了此程序的特性,加以排除查杀,但是更重要的是如何让此木马程序无法植入系统,所以从漏洞修复的角度去进行加固,可以起到釜底抽薪的效果。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6752752609427194372/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
欢乐生肖 德国时时彩 千禧彩票是真的吗 PK10牛牛 广西快3走势 三分快3 欢乐生肖 澳洲幸运8 幸运飞艇官网 极速快乐十分