入侵挖矿处置方案、原因分析

引言

云主机用户面临的首要安全问题是非法挖矿。

非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于浏览器的挖矿在公有云上并非较大的威胁。

反之，云上基于木马文件的入侵挖矿事件层出不穷，黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益，使得用户 CPU 等资源被耗尽，正常业务受到影响。这些被黑客利用的通用问题往往是由于用户缺乏安全意识而导致的。

为什么会中挖矿木马？

云上主机被入侵挖矿，大部分情况是通用漏洞导致的，主要分为基线漏洞、系统漏洞和组件漏洞

基线漏洞：

Redis未授权:Redis开放端口到公网，且未设置密码，或设置了弱密码

SSH暴力破解:Linux登录密码强度太弱

Hadoop Yarn未授权

Tomcat弱口令

Mysql弱口令

RDP弱口令

等等漏洞

系统漏洞，包括:

永恒之蓝 CVE-2017-0144

Lnk远程代码执行漏洞 CVE-2017-846

等等漏洞

组件漏洞,如

Struts远程执行漏洞

WebLogic反序列化漏洞 (CVE-2017-10271)

Jenkins (2018-1000861)

等等漏洞

攻击者利用一个漏洞或多个漏洞的组合拿到执行命令的权限

如图所示，攻击者利用上述漏洞执行命令或脚本，往往一个脚本就可以完成下载挖矿软件，写入后门，执行挖矿，擦除入侵痕迹等一系列操作。

入侵挖矿的危害

入侵挖矿一般会占用用户的机器资源，造成用户机器卡顿。除此之外，一般入侵挖矿攻击中，攻击者还会留下隐藏后门，使得挖矿病毒难以清除，并为病毒家族的升级留下通道。

入侵挖矿如何实现

一般来说，入侵者通过一个或多个漏洞得到机器执行命令的权限，在机器上下载矿机、留下后门，并尝试在机器内网内利用漏洞传播。

可参考文章

攻击者利用未授权的Hadoop Yarn执行命令

攻击者植入隐藏模块将挖矿模块隐藏

中了入侵挖矿如何排查

一、梳理异常特征

1.排查可疑目录、文件

2.排查可疑网络连接，抓包分析

示例命令

netstat -an

3.排查可疑进程:

示例命令

top

4.主机防入侵系统可感知挖矿入侵事件，推荐安装腾讯云云镜

二、排查漏洞根源

1.排查是否存在隐藏账户

2.排查系统日志，如登录日志、操作日志等

示例命令

last

3.排查服务日期，如Redis日志、Tomcat日志等等

4.入侵挖矿多会留下后门，排查自启动项、后门，

示例命令

crontab -e

（图中为异常自启动项）

或查看~/.ssh目录下是否有异常秘钥等

5.一些隐藏较好的挖矿家族不易排查，推荐专家服务

三、重装系统

1.备份重要资料，重装系统时要注意不要误删重要文件。

2.入侵挖矿软件往往会在各处角落放置后门文件，为避免有残留的有害文件或进程，建议重装系统，

如何预防入侵挖矿

1.及时更新操作系统以及各类软件补丁，关注服务器中使用到的组件是否存在漏洞，推荐使用腾讯云安全运营中心

2.各类服务应设置健壮的密码，避免未授权开放的情况，如SSH、RDP、Redis、Mysql等服务

3.Web攻击是入侵挖矿利用的重要途径，可安装WAF(WAF全称Web Application Firewall，可阻断常见Web攻击)，推荐使用腾讯云网站管家