type
Post
status
Published
date
Apr 7, 2022
slug
xmr-mining
summary
一次服务器被恶意挖矿的应急响应
tags
应急响应
挖矿
category
icon
password
和往常一样打开我的服务器玩玩,但这次输入都卡卡的,没多想看了一下进程cpu占用率
嗯?第一个进程怎么占用这么高不正常啊,我也没弄过这程序啊,仔细一看,卧槽xmrig,我不会中了挖矿了吧(我记得xmr好像是门罗币)

入侵分析

首先我们就先看看进程,进程里面写了路径,但为了以防万一我先ps一下,为了防止子进程我们再systemctl status一下pid,果然除了主进程还有一个子进程
notion image
我们先去主要路径里面看看
notion image
貌似不是木马,里面有个日志我们先打开看看
notion image
嗯,一下子就看到了运行的时间4月6日,看来不是很久,我发现得挺及时的嘛,日志里面没什么可看的,我发现还有两个config文件,先打开看看
notion image
直接就发现了矿池的地址和钱包地址,不过这特么pass用我的名字就过分了啊
然后看看子进程路径,就一个服务,等会关了就行了
notion image

开始清除

首先首先干掉进程:kill -9 {pid号},结果过了一会,又复发了,我仔细看了一下,忘了停止服务了
我就先停止服务systemctl stop c3pool_miner.service,再干掉进程:kill -9 {pid号}
然后删掉文件,删掉文件之前先把恶意样本打包down下来,这样清除就完成了,也没有复发了

样本分析

找到了这个挖矿的源头,我们来简单分析一下。miner.sh的内容和相关样本在文末有提供下载。
在/root/c3pool下下载了config.json、config_background.json(挖矿配置)、xmrig(XMR挖矿软件)、miner.sh(本脚本)、xmrig.log(日志信息)
notion image
我发现除了目录是c3pool,脚本里面是也写了c3pool,于是我抱着试试的心态搜索了一下
notion image
猫池?难不成用的这家的服务?我点进去看了一下,点了一下旁边的匿名挖矿输入钱包就发现了我的服务器
notion image
notion image
还发现里面有个生成挖矿工具,估计就是这个了
notion image

入侵分析

查到这里就查不到什么了,先去看看日志,看是怎么被入侵的吧,在登录日志这里发现了异常
notion image
这两个异常登录,和挖矿的时间吻合,卧槽我ssh怎么被泄露了,去看下登录失败日志
notion image
好家伙从3号就开始爆我服务器,合着我服务器被爆开的,看来不能图方便把密码设置成某网址,改密码吧,再换个端口,为了以防再发生这种情况,我还是把我的密码base64加密一下,再写条规则用户连续登录错误超过10次自动锁定3600秒,这样总不能爆破得了吧

附录

矿池地址
auto.c3pool.org:19999
钱包地址
4DSQMNzzq46N1z2pZWAVdeA6JvUL9TCB2bnBiA3ZzoqEdYJnMydt5akCa3vtmapeDsbVKGPFdNkzqTcJS8M8oyK7WGjtop8RjcYFKN1vCe
样本地址
 
Windows白文件运行exe文件信息收集总结