隨着虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦CPU占用率高,C盤可使用空間驟降,電腦溫度升高,風扇噪聲增大等問題。
0x01 應急場景
某天上午重啟服務器的時候,發現程序啟動很慢,打開任務管理器,發現cpu被占用接近100%,服務器資源占用嚴重。
0x02 事件分析
登錄網站服務器進行排查,發現多個異常進程:
分析進程參數:
wmic process get caption,commandline /value >> tmp.txt
TIPS:
在windows下查看某個運行程序(或進程)的命令行參數
使用下面的命令:
wmic process get caption,commandline /value
如果想查詢某一個進程的命令行參數,使用下列方式:
wmic process where caption=”svchost.exe” get caption,commandline /value
這樣就可以得到進程的可執行文件位置等信息。
訪問該鏈接:
Temp目錄下發現Carbon、run.bat挖礦程序:
具體技術分析細節詳見:
360CERT:利用WebLogic漏洞挖礦事件分析
清除挖礦病毒:關閉異常進程、刪除c盤temp目錄下挖礦程序 。
臨時防護方案
-
根據實際環境路徑,刪除WebLogic程序下列war包及目錄
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
-
重啟WebLogic或系統后,確認以下鏈接訪問是否為404
0x04 防范措施
新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對目標服務器感染的成功率。通過利用永恆之藍(EternalBlue)、web攻擊多種漏洞,如Tomcat弱口令攻擊、Weblogic WLS組件漏洞、Jboss反序列化漏洞,Struts2遠程命令執行等,導致大量服務器被感染挖礦程序的現象 。總結了幾種預防措施:
1、安裝安全軟件並升級病毒庫,定期全盤掃描,保持實時防護
2、及時更新 Windows安全補丁,開啟防火牆臨時關閉端口
3、及時更新web漏洞補丁,升級web組件
推薦閱讀:
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
