win的redis服务挖矿病毒查杀
1. 鏀夸紒鏈烘瀯鐢ㄦ埛娉ㄦ剰锛佽爼铏鐥呮瘨Prometei姝e湪閽堝瑰眬鍩熺綉妯鍚戞笚閫忎紶鎾
璀︽儠锛佹斂浼佺綉缁滄柊濞佽儊锛歅rometei锠曡櫕鐥呮瘨妯琛
杩戞湡锛屼竴绉嶅悕涓篜rometei鐨勮爼铏鐥呮瘨鍦ㄥ叏鐞冭寖鍥村唴寮曡捣浜嗗箍娉涘叧娉ㄣ傚畠閫氳繃鎭舵剰鐨勬í鍚戞笚閫忔敾鍑绘墜娈碉紝瀵瑰眬鍩熺綉鍐呯殑缁堢璁惧囧彂璧峰叆渚碉紝璺ㄥ钩鍙拌倖铏愶紝瀵圭粍缁囨満鏋勭殑缃戠粶瀹夊叏鏋勬垚浜嗕弗閲嶅▉鑳併傜伀缁掑畨鍏ㄥ洟闃熷规よ〃绀轰簡楂樺害鍏虫敞锛屽苟寮虹儓寤鸿鏀夸紒鏈烘瀯鍔犲己瀹夊叏闃叉姢鍜屾帓鏌ヨ屽姩銆
Prometei鐥呮瘨鍏峰囨帴鏀舵寚浠ゆ墽琛屾伓鎰忚屼负鐨勮兘鍔涳紝濡傛寲鐭垮拰鏇存柊鐥呮瘨妯″潡锛岃繖涓嶄粎浼氭樉钁楀墛寮辩郴缁熺殑瀹夊叏鎬э紝杩樺彲鑳藉紩鍙戝栭儴鏀诲嚮銆傚畠鐨勪紶鎾绛栫暐鏋佸叾鐙$尵锛屽杽浜庡埄鐢ㄥ急鍙d护鍜岀郴缁熸紡娲烇紝渚嬪傝嚟鍚嶆槶钁楃殑姘告亽涔嬭摑婕忔礊锛屽瑰悓涓缃戞靛唴鐨勭粓绔杩涜屾倓鏃犲0鎭鐨勬笚閫忋
鐏缁掑畨鍏ㄥ洟闃熷凡缁忓崌绾т簡鏌ユ潃鍜岄槻鎶ゆ妧鏈锛屽寘鎷瀵硅繙绋嬬櫥褰曘佹í鍚戞笚閫忓拰Web鏈嶅姟鐨勪繚鎶わ紝浠ユ嫤鎴鐥呮瘨鐨勬墿鏁h矾寰勩傜梾姣掕繕閲囧彇浜嗗姞瀵嗗拰鍖垮悕閫氳鎵嬫碉紝浠ユ彁鍗囪嚜韬鐨勯殣钄芥э紝鏀鎸佸氱嶅悗闂ㄦ寚浠ゅ拰鍔熻兘锛屽炲姞浜嗛槻鑼冪殑澶嶆潅鎬с
娣卞害鍓栨瀽锛Prometei鍒╃敤浜嗚稿侻IWalk绛夊伐鍏凤紝閫氳繃鑾峰彇鐧诲綍鍑璇佽繘琛屾敾鍑汇傚畠鍒╃敤SMB銆乄MI銆丼QLServer銆丳ostgreSQL绛夋湇鍔¤繘琛屾毚鍔涚牬瑙o紝鍊熷姪棰勮惧拰鍔ㄦ佺敓鎴愮殑瀛楀吀锛屾彁楂樹簡鏀诲嚮鐨勬垚鍔熺巼銆傜梾姣掗氳繃PowerShell涓嬭浇涓绘ā鍧楋紝鍚屾椂鍒╃敤WMI鍜孲SH杩涜屾毚鐮翠紶鎾锛學indows绯荤粺鍒╃敤windrlver鍜宯ethelper妯″潡锛岀被Unix绯荤粺鍒欓氳繃curl绛夋墜娈靛圭洰鏍囪繘琛屾敾鍑汇
SQLServer鍜孭ostgreSQL鍚屾牱鎴愪负鐥呮瘨鐨勭洰鏍囷紝Windows绯荤粺浣跨敤PowerShell锛岃岀被Unix绯荤粺鍒欎緷璧栦簬curl銆傚煎緱娉ㄦ剰鐨勬槸锛孲MB鏆寸牬鍙鑳戒細鍒╃敤"姘告亽涔嬭摑"婕忔礊锛岃岀梾姣掑瑰悇绉嶆紡娲炵殑鍒╃敤鏄剧ず浜嗗叾鏀诲嚮鐨勫箍娉涙у拰鐏垫椿鎬с
鐥呮瘨涓鏃﹂氳繃Redis鏈鎺堟潈璁块棶婕忔礊鎴愬姛杩炴帴锛屽氨浼氫娇鐢╳get涓嬭浇鎭舵剰妯″潡骞舵墽琛屻傝孯edis鍜孉pache Log4j婕忔礊鐨勪紶鎾娑夊強RDP鍗忚銆佷富鏈哄悕鍔犲瘑浠ュ強bklocal妯″潡锛孡og4j婕忔礊鍒欓氳繃鏋勯犵壒瀹歎ser-Agent鍙戦乬et璇锋眰锛岃Е鍙戞紡娲炲埄鐢ㄣ
瀵逛簬绫籙nix绯荤粺锛岀梾姣掓牱鏈涓昏侀氳繃SMB銆丼SH鍜孯edis杩涜屾敾鍑伙紝涓嶹indows绯荤粺鐨勬敾鍑婚昏緫鐩镐豢銆傛牱鏈鏀鎸佺殑鍚庨棬鎸囦护涓板瘜澶氭牱锛屽叿浣撹︽儏璇峰弬闃呴檮褰曘傛牱鏈鐨勫搱甯屽煎皢鍦ㄥ悗缁鍐呭逛腑鎻愪緵锛屼互渚夸簬杩涗竴姝ヨ瘑鍒鍜岄槻鎶ゃ
闈㈠筆rometei锠曡櫕鐥呮瘨鐨勬寫鎴橈紝鏀夸紒鏈烘瀯鍔″繀鎻愰珮璀︽儠锛屽強鏃舵洿鏂板畨鍏ㄩ槻鎶ゆ帾鏂斤紝纭淇濈綉缁滅幆澧冪殑瀹夊叏绋冲畾銆傚悓鏃讹紝鎸佺画鍏虫敞鐏缁掑畨鍏ㄧ殑鏈鏂板姩鎬侊紝鑾峰彇鏈鏈夋晥鐨勫簲瀵圭瓥鐣ワ紝鍏卞悓鎶靛尽杩欏満缃戠粶瀹夊叏鐨勫▉鑳併
2. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛
1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅绔鍙e紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆
8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广
3. 中挖矿病毒的表现
故障现象:使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。在检测异常进程中,未发现CPU使用率异常的进程(使用 top、htop 以及 ps -aux 进行检查),于是报障。
检测过程:
1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载"procps-3.2.8"并编译,恢复top等系列命令。
5.检测进程是否异常。
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处。
7.排查ssh登录日志。
8.把ssh登录切换成秘钥登录。
9.重启服务器,检查是否进程是否正常。
4. 阿里云yum工具和出站80端口不可用的问题排查一例
收到阿里云短信/站内信提醒,线上某资源被病毒入侵。查看告警详情及登录服务器后确认是感染了DDG挖矿病毒,入侵点是redis。由于病毒行为复杂,难以彻底清除对系统的修改,决定重置该实例然后重新部署服务。
实例重置后,发现yum无法使用。提示yum连接超时,连接的目标主机是阿里云的yum源(233.*的IP地址,为外网地址),协议为HTTP。
进一步测试发现DNS解析正常,curl访问内网的80端口正常,访问外网所有80端口均超时,访问外网的8080/443等部分非80端口正常。
经检查机器的iptables没有启用,阿里云安全组出站方向无限制。随后提交工单联系阿里云。
售后客服在工单中答复,之前机器被检测到有大量web攻击行为,阿里云已对该实例进行了出站特定端口封禁处理。在工单内表示问题已经排除后,客服提前人工解除封禁。
这类封禁处理不会体现在安全组,可以在 云盾安全管控管理控制台 来查看封禁记录。这个控制台也可以在阿里云控制台右上角账户图标--安全管控--处罚列表处进入。另外,处罚通知也会以站内信的方式发送(是否有短信暂不明确),所以及时查收站内信非常必要。
作为RAM用户身份登录难以保持登录状态,同时主账号对通知方式的设置不合理,加上对阿里云检测和通知机制不够熟悉,导致这次问题排查持续时间较久。
阿里云 yum 出站 端口 封禁 入侵
5. 挖矿病毒怎么处理
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
6. 僵尸病毒和挖矿病毒的区别
僵尸病毒,BlueHero是一种会自动传染的蠕虫病毒,它像WannaCry一样从一台机器自动传染到另一台机器,从一个内网感染到另一个内网。基于传播方法的特点,遭受感染的大多是网站服务器以及其所在内网。
挖矿病毒由腾讯御见威胁情报最早报告。近一年来病毒频繁升级,不断增加攻击手法和躲避安全查杀
DDG挖矿病毒(国外称其为Linux.Lady)是一款在Linux系统下运行的恶意挖矿病毒,前期其主要通过ssh爆破,redis未授权访问漏洞等方式进行传播,近年来其更新非常频繁,已经出现多个版本,本次捕获到的是4004版本