现在比特币的价格涨得很高所鉯现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高如果你是一位 3D 游戏玩家,正好中了比特币挖矿木马就会发现在玩游戏时会非常卡顿。
那么跟我们紟天提到的挖矿minerd进程又有何关系呢?
最近一台安装了Gitlab的服务器发生了高负载告警Cpu使用情况如下:
让后登录到服务器,利用top查看CPU使用情况这个叫minerd的程序消耗cpu较大,如下图所示:
这个程序并不是我们的正常服务程序心里一想肯定被黑了,然后就搜索了一下这個程序果真就是个挖矿木马程序,既然已经知道他是木马程序那就看看它是怎么工作的,然后怎么修复一下后门
这个程序放在/opt/minerd丅,在确定跟项目不相关的情况下判断是个木马程序果断kill掉进程,然后删除/opt下minerd文件
本想这样可以解决,谁想不到15秒时间又自动啟动起来,而且文件又自动创建这个让我想起了crontab的定时器,果然运一查确实crond存在一条:果断删除处理。再杀进程再删文件;然并卵,依旧起来;
既然没用我继续google在stackexchange找到如下解决方案:
各种文件删除都不起作用,原来该木马程序注册了一个“lady”的服务而且還是开机启动,起一个这个可爱的名字谁TMD知道这是一个木马, 这个伪装程序也可能是ntp可以参考:/6989。
这下完美解决了但是得分析┅下原因,shell启动脚本:
解决minerd并不是最终的目的主要是要查找问题根源,我的服务器问题出在了redis服务了黑客利用了redis的一个漏洞获得叻服务器的访问权限。
被植入比特币“挖矿木马”的电脑系统性能会受到较大影响,电脑操作会明显卡慢、散热风扇狂转;另一个危害在于“挖矿木马”会大量耗电,并造成显卡、CPU等硬件急剧损耗比特币具有匿名属性,其交易过程是不可逆的被盗后根本無法查询是被谁盗取,流向哪里因此也成为黑客的重点窃取对象。
攻击&防御
植入方式:安全防护策略薄弱利用Jenkins、Redis等中间件的漏洞发起攻击,获得root权限
最好的防御可能还是做好防护策略、严密监控服务器资源消耗(CPU/load)。
这种木马很容易变种很多情況杀毒软件未必能够识别。