liunx挖礦行為排查

『壹』 挖礦病毒持續活躍，通過 ssh "強行" 登錄

近期，火絨安全實驗室接收用戶反饋，電腦出現異常運行。經排查，異常原因系挖礦病毒事件造成。該病毒為名為xbash的惡意腳本，屬於Coinminer家族，自去年以來大規模傳播，近期活動頻繁，國內主要以投放的xmrig挖礦病毒變種libgcc_a聞名。此病毒通過SSH口令爆破手段獲取初始訪問許可權，運用多種技術手段，包括預載入劫持、殺軟對抗、流量代理和內網橫向等，進行運行、隱藏和傳播。

病毒起始樣本是一個xbash腳本文件，使用Makeself打包工具，包含一個名為cronman的主引導腳本。其主要行為包括下載payload、持久化、清除痕跡、清除殺軟、內網代理、內網橫向、運行挖礦程序等。具體步驟如下：首先通過run_cmd函數執行安裝xinetd守護進程，用於後續配置代理轉發服務，下載payload。調用clean函數清理殺毒軟體及其它挖礦程序，通過終止進程、停止服務、刪除自保護驅動、調用自帶的卸載腳本等操作，移除安全軟體並終止同類挖礦程序。依據SKIPUPDATE變數值和data文件進行配置更新，通過get_remote_file函數下載文件並寫入計劃任務中實現自啟動。修改/etc/ld.so.preload內容以劫持程序啟動後載入的動態庫實現hook行為，通過下載開源網路探測工具spirit實現內網橫向移動。

病毒還通過檢查iptables、firewalld安裝情況並開放特定埠，修改SSH配置文件實現持久化，並通過下載開源網路探測工具spirit，通過crontab命令創建周期任務來執行ssh爆破，實現內網橫向移動。病毒下載的程序xfitaarch.sh、xfit.sh，為xmrig挖礦程序變種，清除系統日誌和歷史記錄，消除痕跡。

病毒腳本中存在預載入劫持，對相關庫進行逆向分析發現，sshkit.so庫文件會hook掉readdir函數，獲取原始返回結果並過濾掉ssh進程文件，pkit.so隱藏libgcc_a，skit.so隱藏spirit，sshpkit.so隱藏sshpass。readdir函數是c語言libc庫在用戶層提供用於讀取目錄內容的函數，hook readdir函數間接hook了使用getdents64函數的命令，包括常用的ls、ps、top命令等。病毒隱藏的進程spirit.sh是一個開源滲透測試工具，用於linux下內網主機存活探測及橫向移動。另一個隱藏程序libgcc_a是XMrig挖礦程序變種，用於挖礦牟利。

火絨安全產品已支持攔截和查殺此類病毒，請廣大用戶及時更新病毒庫以提高防禦能力。

HASH：

C&C：

『貳』 國家發改委整治虛擬貨幣「挖礦」活動，虛擬貨幣「挖礦」行為有哪些危害

虛擬貨幣挖危害如下：

虛擬貨幣「挖礦」行為存在極其嚴重的危害。

首先虛擬貨幣「挖礦」能源消耗和碳排放量大，對產業發展、科技進步不具有積極的帶動作用，其次虛擬貨幣生產、交易環節衍生的風險越發突出，其盲目無序發展對推動經濟社會高質量發展和節能減排帶來嚴重不利影響。

整治虛擬貨幣「挖礦」活動對促進我國產業結構優化、推動節能減排、如期實現碳達峰、碳中和目標具有重要意義。

整治挖礦行為：

2021年，江蘇省通信管理局全面排查江蘇省虛擬貨幣「挖礦」行為，監測發現江蘇省開展虛擬貨幣活動的礦池出口流量達136.77mbps，參與「挖礦」的互聯網IP地址總數4502個，消耗算力資源超10ph/s，耗能26萬度/天。

以省內虛擬貨幣「挖礦」活動較多的以太坊和比特幣為例，「挖礦」較多的地市有蘇州、徐州、南京。從IP地址歸屬和性質看，歸屬黨政機關、高校、企業被入侵利用開展虛擬貨幣「挖礦」行為的佔比約21%。

江蘇省通信管理局持續開展虛擬貨幣「挖礦」態勢分析，進一步聯合各相關部門，形成「多維度、多層次」的處置體系，依法處置相關網站和移動應用程序，配合做好違法虛擬貨幣交易的溯源與打擊。

『叄』 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛

1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅絝鍙ｅ紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆

8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣

『肆』 江蘇率先全面排查虛擬貨幣挖礦全省用時26天全部排查完畢，是怎麼做到的

社會經濟發展越來越快，人們賺錢的手段也是越來越多，很多人通過投資虛擬貨幣賺得盆滿缽滿，但是很多炒幣的人也是從高樓上面一躍而下，結束了自己的生命，由此可以看出虛擬貨幣是存在著巨大的風險的，這一次江蘇率先全面排查虛擬貨幣挖礦，全省用時26天全部排查完畢，也是非常的大快人心的，從相關的報道中我們可以看出，這一次主要的調查方式是從IP地址來進行調查的，而且以省內虛擬貨幣挖礦活動較多的以太坊和比特幣為例，挖礦較多的城市有蘇州，徐州，南京，當地警方也是立即介入了調查。

3、下一步我國將展開怎樣的調查

從相關報道中我們可以看出，下一步江蘇省通信管理局將持續開展虛擬貨幣挖礦態勢分析，一定會嚴厲打擊挖礦形式的，希望每一名動了歪心思的人都能夠引以為戒。

『伍』 挖礦違法嗎有多嚴重

1.挖礦不違法：首先要明確挖礦並不違法，刑法並沒有明確規定挖礦是違法行為！但是由於高能耗，不提倡！

2.行業不是一刀切：文件點名的是比特幣，並非整個加密幣行業。文件用詞是嚴打，並非禁止。說明並非一刀切，而是要針對有金融風險、高能耗的礦池、洗錢等行為。

3.鼓勵綠色環保的技術：文件明確指出比特幣是高能耗資源浪費，但是同時鼓勵遵循綠色理念開展投融資行為。fil、chia、bzz提供綠色環保解決方案的不影響，這就是為什麼點名道姓比特幣挖礦，為什麼不寫打擊一切數字貨幣挖礦。所以接下來中國的比特幣挖礦的人，要麼去國外，要麼轉fil這類的硬碟挖礦！

4.不準搶數字人民幣地位：比特幣是點對點的現金支付系統，他的作用是支付，是數字貨幣，和數字人名幣沖突，肯定要打擊。而儲存類、真正有區塊鏈落地技術的會得到逆勢發展。

5.關閉礦場：比特幣挖礦耗能巨大，無實際產出，背離碳中和目標，所有境內打著高科技幌子的礦場可能會行政強制關閉，但對於個人和工作室不受影響。

6.凍結交易：法幣交易比特幣等數字貨幣危害金融安全，銀行會全面排查可疑賬戶，發現金額或筆數較大的"C2C"交易商，立刻採取管制措施並每日上報，以後USDT商家可能隨時面臨凍結，個人玩家金額較大後也可能面臨凍結！

7.關閉交易所：給境內用戶提供合約、期貨交易服務的比特幣交易平台，涉嫌非法經營期貨罪，將聯合公安部門、國際刑警嚴厲打擊。比如抹茶、火幣等交易所合約可能會停止向境內用戶提供了

8.嚴查洗錢通道：嚴肅查處為境外虛擬貨幣交易平台提供所謂"回國線路"等服務的IDC服務商。

關於挖礦最後：對自有資金買礦機低調挖礦，不集資、不炒作、不搞類金融產品的不影響；對雲計算中心、大數據中心、合規礦場，如果用電、用能、核准備案、環保消防等手續齊全的，只要合法經營不偷稅漏稅，是否接納或允許由地方政府根據能耗指標、國土指標等自行決定；火電礦場懸了，主要是能耗和碳排放問題。

『陸』 深度解析惡意挖礦攻擊：現狀、檢測及處置手冊

惡意挖礦攻擊的現狀、檢測及處置

背景：國家發改委宣布全面整治「挖礦」活動，以產業式集中式「挖礦」、國有單位涉及「挖礦」和比特幣「挖礦」為重點，體現了對整治這一威脅的堅定決心。奇安信威脅情報中心響應這一行動，免費推出應對惡意挖礦攻擊的檢測及自查處置手冊，以供企業用戶和個人用戶參考。

引言：惡意挖礦程序是網路威脅的另一大類別，它在用戶不知情或未經允許的情況下，佔用用戶終端設備的系統資源和網路資源進行挖礦，以獲取虛擬幣牟利。其影響范圍廣泛，從個人電腦到企業網站和伺服器，乃至個人手機和網路路由器。隨著虛擬貨幣交易市場的繁榮，惡意挖礦攻擊成為影響最為廣泛的一類威脅，威脅著企業和廣大個人網民。

面對惡意挖礦攻擊，本文提供針對企業機構和個人網民的全面解決方案。本文採用問答形式，解答企業機構和網民普遍關心的問題，並根據讀者對象分為企業篇和個人篇。

企業篇關注點包括：為什麼會感染惡意挖礦程序、惡意挖礦程序可能造成的影響、攻擊是如何實現的，以及如何發現和防護惡意挖礦攻擊。企業機構的網路管理員和安全運維人員在發現企業內網主機感染惡意挖礦程序或網站、伺服器以及雲服務被植入惡意挖礦程序時，通常會面臨如何防範和應對的挑戰。本文總結了惡意挖礦攻擊的主要方式，如釣魚欺詐、捆綁正常應用程序等，以及可能導致感染的系統漏洞和錯誤配置。企業內部人員的不當行為也可能帶來安全風險。本文詳細分析了惡意挖礦攻擊的實現過程，並提供了排查和防護方法。

個人用戶篇則聚焦於個人設備如何避免被惡意挖礦程序感染，包括提高安全意識、及時更新系統和應用版本、安裝個人終端安全防護軟體等建議。此外，本文介紹了針對常見惡意挖礦家族的自查和清除方法，覆蓋了從初始感染到檢測、清除和防護的全過程。

總結：惡意挖礦攻擊已成為網路威脅的重要組成部分，對企業和個人用戶構成了嚴重威脅。通過本文的深入分析和提供的應對措施，企業和個人用戶可以更好地了解惡意挖礦攻擊的現狀、檢測方法以及如何採取有效的防護措施，從而保護自己的系統和數據安全。奇安信威脅情報中心的指南為防範惡意挖礦攻擊提供了寶貴資源，助力企業和個人建立更強大的網路安全防禦體系。