Linux云服务器被植入挖矿木马

十月ι

昨天收到阿里云盾告警，说公司生产服务器被植入了挖矿木马



于是登录服务器，定位到木马位置，将进程kill掉，进程文件删除，查看了计划任务，最近登录账号，系统操作日志，端口开放情况，也更改了密码，本以为处理成功了
今天一早又收到云盾报警，昨天处理的木马今天又自动运行了




使用pstree查看子进程也没有发现其他异常
这个木马是不是有一个守护进程伪装成系统进程，然后检测挖矿进程是否被杀死或者/tmp/tcpp文件是否被删除，达到触发条件时重新在/tmp文件夹下创建tcpp文件并启动挖矿进程
我现在只把tcpp挖矿进程杀掉了，然后将tcpp的777权限改为444，用root权限加了i锁，不知道能不能组织木马程序运行

求大佬给个思路，谢谢
这是挖矿文件样本：https://wwi.lanzouj.com/iJ1uInklfed

cutthesoul

runminer挖矿吧
wubanf 这个账户是干嘛用的？

老大哥

cutthesoul 发表于 2021-4-2 10:18
runminer挖矿吧
wubanf 这个账户是干嘛用的？

那肯定是人家维护人员的登录账号啊

十月ι

cutthesoul 发表于 2021-4-2 10:18
runminer挖矿吧
wubanf 这个账户是干嘛用的？

是runminer，wubanf是运维账号...

cutthesoul

十月ι 发表于 2021-4-2 10:23
是runminer，wubanf是运维账号...

处理Linux病毒 建议先想下病毒是怎么进来的，不然很容易造成反复处理的问题，病毒进程都是wubanf账户创建的。我还是怀疑
1.wubanf账户是弱密码，或者账户下有免密公钥
2.病毒进程没全结束掉。
3.web服务漏洞
网上的相关报告里都有这个挖矿的传播方式 建议根据报告排查下

十月ι

cutthesoul 发表于 2021-4-2 10:33
处理Linux病毒 建议先想下病毒是怎么进来的，不然很容易造成反复处理的问题，病毒进程都是wubanf账户创建 ...

看了很多查杀报告，说是利用shiro框架漏洞入侵的，我们工程代码没有使用shiro框架，账号的密码也更改成14位密码了，免密公钥倒是有一个，进程除了主进程之外没有查到其余相关进程，可能伪装成系统进程了

cutthesoul

十月ι 发表于 2021-4-2 10:45
看了很多查杀报告，说是利用shiro框架漏洞入侵的，我们工程代码没有使用shiro框架，账号的密码也更改成14 ...

web漏洞 挖矿不一定只用一种 我看的报告里还有一个CVE-2017-10271

你可以看下本机的tcp连接 有没有外联国外IP的进程
netstat -antp  (需要安装net-tool后使用)

Andrea

如果是从业务系统上来的，那就得代码审计去找业务上的漏洞了。这里出现问题，我们只能去系统层面排查~这个进程在当前用户下执行的，那么重点排查当前用户。用户级别的计划任务、系统级别的计划任务、用户和系统配置文件、用户自定的一些脚本文件……既然改过密码，还能放马，那系统内还有木马下载和执行脚本的可能性更大；如果是改密码后，都又被爆进来了，那业务那边怕是要赶紧查。
账号这边可以顺便加固一波，防止爆破啊，限制登录啊，只准从哪里登录或者密钥登录啊……

w_zzzzzz

定时任务应该是有东西的  crontab -l  看一下