Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析

作者：他二哥 链接：https://www.cnblogs.com/kobexffx/p/11000337.html

一、症状及表现

1、CPU使用率异常，top命令显示CPU统计数数据均为0，利用busybox 查看CPU占用率之后，发现CPU被大量占用。

注：ls top ps等命令已经被病毒的动态链接库劫持，无法正常使用，大家需要下载busybox。

2、crontab 定时任务异常，存在以下内容；

3、后期病毒变异，劫持sshd，导致远程登陆失败，偶尔还会跳出定时任务失败，收到新邮件等问题

4、 存在异常文件、异常进程以及异常开机项

二、查杀方法

1、断网，停止定时任务服务；

2、查杀病毒主程序，以及保护病毒的其他进程；

3、恢复被劫持的动态链接库和开机服务；

4、重启服务器和服务；

附查杀脚本(根据情况修改)

（脚本参考（https://blog.csdn.net/u010457406/article/details/89328869））

查杀完成以后重启服务器，发现过段时间，登陆主机，无论本地还是ssh远程登陆，依然会有病毒进程被拉起，观察top里面的进程，并用pstree 回溯进程之间的关系，发现每次用户登陆就会有病毒进程被拉起，怀疑登陆时加载文件存在问题，逐个排查下列文件：

• /etc/profile，
• ~/.profile，
• ~/.bash_login，
• ~/.bash_profile，
• ~/.bashrc，
• /etc/bashrc；

最后终于发现/etc/bashrc 文件被加入了一些似曾相识的语句

删除并次查杀病毒（重复之前查杀步骤），重启服务器，观察一段时间后不再有病毒程序被拉起，至此病毒被查杀完全。

三、病毒分析

1、感染路径

• 攻击者通过网络进入第一台被感染的机器(redis未认证漏洞、ssh密码暴力破解登录等)。
• 第一台感染的机器会读取known_hosts文件，遍历ssh登录，如果是做了免密登录认证，则将直接进行横向传播。

2、病毒主要模块

• 主恶意程序：kerberods
• 恶意Hook库：libcryptod.so libcryptod.c
• 挖矿程序：khugepageds
• 恶意脚本文件：netdns (用作kerberods的启停等管理)
• 恶意程序：sshd （劫持sshd服务，每次登陆均可拉起病毒进程）

3、执行顺序

① 执行恶意脚本下载命令

② 主进程操作

1> 添加至开机启动，以及/etc/bashrc

2> 生成了sshd文件 劫持sshd服务

3> 将netdns文件设置为开机启动

4> 编译libcryptod.c为/usr/local/lib/libcryptod.so

5> 预加载动态链接库，恶意hook关键系统操作函数

6> 修改/etc/cron.d/root文件，增加定时任务

7> 拉起khugepageds挖矿进程

四、安全防护

1.SSH

① 谨慎做免密登录

② 尽量不使用默认的22端口

③ 增强root密码强度

2.Redis

① 增加授权认证(requirepass参数)

② 尽量使用docker版本(docker pull redis)

③ 隐藏重要的命令