liunx挖矿行为排查

『壹』 挖矿病毒持续活跃，通过 ssh "强行" 登录

近期，火绒安全实验室接收用户反馈，电脑出现异常运行。经排查，异常原因系挖矿病毒事件造成。该病毒为名为xbash的恶意脚本，属于Coinminer家族，自去年以来大规模传播，近期活动频繁，国内主要以投放的xmrig挖矿病毒变种libgcc_a闻名。此病毒通过SSH口令爆破手段获取初始访问权限，运用多种技术手段，包括预加载劫持、杀软对抗、流量代理和内网横向等，进行运行、隐藏和传播。

病毒起始样本是一个xbash脚本文件，使用Makeself打包工具，包含一个名为cronman的主引导脚本。其主要行为包括下载payload、持久化、清除痕迹、清除杀软、内网代理、内网横向、运行挖矿程序等。具体步骤如下：首先通过run_cmd函数执行安装xinetd守护进程，用于后续配置代理转发服务，下载payload。调用clean函数清理杀毒软件及其它挖矿程序，通过终止进程、停止服务、删除自保护驱动、调用自带的卸载脚本等操作，移除安全软件并终止同类挖矿程序。依据SKIPUPDATE变量值和data文件进行配置更新，通过get_remote_file函数下载文件并写入计划任务中实现自启动。修改/etc/ld.so.preload内容以劫持程序启动后加载的动态库实现hook行为，通过下载开源网络探测工具spirit实现内网横向移动。

病毒还通过检查iptables、firewalld安装情况并开放特定端口，修改SSH配置文件实现持久化，并通过下载开源网络探测工具spirit，通过crontab命令创建周期任务来执行ssh爆破，实现内网横向移动。病毒下载的程序xfitaarch.sh、xfit.sh，为xmrig挖矿程序变种，清除系统日志和历史记录，消除痕迹。

病毒脚本中存在预加载劫持，对相关库进行逆向分析发现，sshkit.so库文件会hook掉readdir函数，获取原始返回结果并过滤掉ssh进程文件，pkit.so隐藏libgcc_a，skit.so隐藏spirit，sshpkit.so隐藏sshpass。readdir函数是c语言libc库在用户层提供用于读取目录内容的函数，hook readdir函数间接hook了使用getdents64函数的命令，包括常用的ls、ps、top命令等。病毒隐藏的进程spirit.sh是一个开源渗透测试工具，用于linux下内网主机存活探测及横向移动。另一个隐藏程序libgcc_a是XMrig挖矿程序变种，用于挖矿牟利。

火绒安全产品已支持拦截和查杀此类病毒，请广大用户及时更新病毒库以提高防御能力。

HASH：

C&C：

『贰』 国家发改委整治虚拟货币「挖矿」活动，虚拟货币「挖矿」行为有哪些危害

虚拟货币挖危害如下：

虚拟货币“挖矿”行为存在极其严重的危害。

首先虚拟货币“挖矿”能源消耗和碳排放量大，对产业发展、科技进步不具有积极的带动作用，其次虚拟货币生产、交易环节衍生的风险越发突出，其盲目无序发展对推动经济社会高质量发展和节能减排带来严重不利影响。

整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。

整治挖矿行为：

2021年，江苏省通信管理局全面排查江苏省虚拟货币“挖矿”行为，监测发现江苏省开展虚拟货币活动的矿池出口流量达136.77mbps，参与“挖矿”的互联网IP地址总数4502个，消耗算力资源超10ph/s，耗能26万度/天。

以省内虚拟货币“挖矿”活动较多的以太坊和比特币为例，“挖矿”较多的地市有苏州、徐州、南京。从IP地址归属和性质看，归属党政机关、高校、企业被入侵利用开展虚拟货币“挖矿”行为的占比约21%。

江苏省通信管理局持续开展虚拟货币“挖矿”态势分析，进一步联合各相关部门，形成“多维度、多层次”的处置体系，依法处置相关网站和移动应用程序，配合做好违法虚拟货币交易的溯源与打击。

『叁』 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛

1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅绔鍙ｅ紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆

8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广

『肆』 江苏率先全面排查虚拟货币挖矿全省用时26天全部排查完毕，是怎么做到的

社会经济发展越来越快，人们赚钱的手段也是越来越多，很多人通过投资虚拟货币赚得盆满钵满，但是很多炒币的人也是从高楼上面一跃而下，结束了自己的生命，由此可以看出虚拟货币是存在着巨大的风险的，这一次江苏率先全面排查虚拟货币挖矿，全省用时26天全部排查完毕，也是非常的大快人心的，从相关的报道中我们可以看出，这一次主要的调查方式是从IP地址来进行调查的，而且以省内虚拟货币挖矿活动较多的以太坊和比特币为例，挖矿较多的城市有苏州，徐州，南京，当地警方也是立即介入了调查。

3、下一步我国将展开怎样的调查

从相关报道中我们可以看出，下一步江苏省通信管理局将持续开展虚拟货币挖矿态势分析，一定会严厉打击挖矿形式的，希望每一名动了歪心思的人都能够引以为戒。

『伍』 挖矿违法吗有多严重

1.挖矿不违法：首先要明确挖矿并不违法，刑法并没有明确规定挖矿是违法行为！但是由于高能耗，不提倡！

2.行业不是一刀切：文件点名的是比特币，并非整个加密币行业。文件用词是严打，并非禁止。说明并非一刀切，而是要针对有金融风险、高能耗的矿池、洗钱等行为。

3.鼓励绿色环保的技术：文件明确指出比特币是高能耗资源浪费，但是同时鼓励遵循绿色理念开展投融资行为。fil、chia、bzz提供绿色环保解决方案的不影响，这就是为什么点名道姓比特币挖矿，为什么不写打击一切数字货币挖矿。所以接下来中国的比特币挖矿的人，要么去国外，要么转fil这类的硬盘挖矿！

4.不准抢数字人民币地位：比特币是点对点的现金支付系统，他的作用是支付，是数字货币，和数字人名币冲突，肯定要打击。而储存类、真正有区块链落地技术的会得到逆势发展。

5.关闭矿场：比特币挖矿耗能巨大，无实际产出，背离碳中和目标，所有境内打着高科技幌子的矿场可能会行政强制关闭，但对于个人和工作室不受影响。

6.冻结交易：法币交易比特币等数字货币危害金融安全，银行会全面排查可疑账户，发现金额或笔数较大的"C2C"交易商，立刻采取管制措施并每日上报，以后USDT商家可能随时面临冻结，个人玩家金额较大后也可能面临冻结！

7.关闭交易所：给境内用户提供合约、期货交易服务的比特币交易平台，涉嫌非法经营期货罪，将联合公安部门、国际刑警严厉打击。比如抹茶、火币等交易所合约可能会停止向境内用户提供了

8.严查洗钱通道：严肃查处为境外虚拟货币交易平台提供所谓"回国线路"等服务的IDC服务商。

关于挖矿最后：对自有资金买矿机低调挖矿，不集资、不炒作、不搞类金融产品的不影响；对云计算中心、大数据中心、合规矿场，如果用电、用能、核准备案、环保消防等手续齐全的，只要合法经营不偷税漏税，是否接纳或允许由地方政府根据能耗指标、国土指标等自行决定；火电矿场悬了，主要是能耗和碳排放问题。

『陆』 深度解析恶意挖矿攻击：现状、检测及处置手册

恶意挖矿攻击的现状、检测及处置

背景：国家发改委宣布全面整治“挖矿”活动，以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点，体现了对整治这一威胁的坚定决心。奇安信威胁情报中心响应这一行动，免费推出应对恶意挖矿攻击的检测及自查处置手册，以供企业用户和个人用户参考。

引言：恶意挖矿程序是网络威胁的另一大类别，它在用户不知情或未经允许的情况下，占用用户终端设备的系统资源和网络资源进行挖矿，以获取虚拟币牟利。其影响范围广泛，从个人电脑到企业网站和服务器，乃至个人手机和网络路由器。随着虚拟货币交易市场的繁荣，恶意挖矿攻击成为影响最为广泛的一类威胁，威胁着企业和广大个人网民。

面对恶意挖矿攻击，本文提供针对企业机构和个人网民的全面解决方案。本文采用问答形式，解答企业机构和网民普遍关心的问题，并根据读者对象分为企业篇和个人篇。

企业篇关注点包括：为什么会感染恶意挖矿程序、恶意挖矿程序可能造成的影响、攻击是如何实现的，以及如何发现和防护恶意挖矿攻击。企业机构的网络管理员和安全运维人员在发现企业内网主机感染恶意挖矿程序或网站、服务器以及云服务被植入恶意挖矿程序时，通常会面临如何防范和应对的挑战。本文总结了恶意挖矿攻击的主要方式，如钓鱼欺诈、捆绑正常应用程序等，以及可能导致感染的系统漏洞和错误配置。企业内部人员的不当行为也可能带来安全风险。本文详细分析了恶意挖矿攻击的实现过程，并提供了排查和防护方法。

个人用户篇则聚焦于个人设备如何避免被恶意挖矿程序感染，包括提高安全意识、及时更新系统和应用版本、安装个人终端安全防护软件等建议。此外，本文介绍了针对常见恶意挖矿家族的自查和清除方法，覆盖了从初始感染到检测、清除和防护的全过程。

总结：恶意挖矿攻击已成为网络威胁的重要组成部分，对企业和个人用户构成了严重威胁。通过本文的深入分析和提供的应对措施，企业和个人用户可以更好地了解恶意挖矿攻击的现状、检测方法以及如何采取有效的防护措施，从而保护自己的系统和数据安全。奇安信威胁情报中心的指南为防范恶意挖矿攻击提供了宝贵资源，助力企业和个人建立更强大的网络安全防御体系。