挖矿病毒处理.docxVIP

GPU服务器挖矿事件应急响应

一、背景

同一内网的10台GPU服务器，版本均为ubuntu20.04。

二、排查过程

从通报里面知道以下IP为异常IP，从这两个信息开始进行排查，查看威胁情报得知均为德国IP：

98:443德国矿池

:80德国IP

2.1进程分析

先把云安全中心高级版装上，运行全盘扫描，并且等待扫描过程中手工排查服务器，使用ss-ta命令发现服务器有和恶意IP连接

执行netstat-tnlpu|grep98，想查看PID，结果未返回相关结果，反而过了10秒后出现阿里云告警:

怀疑netstat命令被黑客篡改，使用stat/usr/bin/netstat收集篡改时间，可以看到最后一次修改文件属性的时间是2024年9月19日17:49。询问运维这台服务器什么时候购买的，是在几个月之前，因此基本可以推断入侵时间是在2024年9月19日左右。

为避免阿里云安全中心误报，把/usr/bin/netstat下载后丢到威胁情报进行查询，结果依然是报毒：

查看行为，有很多grep-v反向过滤矿池IP，导致无法使用netstat-tnlpu查看pid

接着阿里云不断报出了新的告警systemctl、top命令全部被篡改，基本可以确定不能继续使用系统命令进行排查

下载busybox进行应急

cd/root

wget/downloads/binaries/1.35.0-x86_64-linux-musl/busybox

chmodu+x./busybox

mv./busybox/usr/bin/busybox

执行busyboxtop查看CPU占用最高的进程，发现存在异常进程/9ac8a281

查看根目录，不存在/9ac8a281，怀疑文件已经被删掉了，恶意程序应该在内存里运行

cat/9ac8a281

cat:/9ac8a281:Nosuchfileordirectory

cd/proc/4022388/

ls-al|grepexe

恶意文件/9ac8a281果然被删除了

找运维从其他机器上拷贝了一个干净的systemctl到中毒机上，排查守护进程，发现异常服务63f55525.service

./systemctllist-units--type=service

UNITLOADACTIVESUBDESCRIPTION

●63f55525.servicenot-foundfailedfailed63f55525.service

……

执行./systemctlstatus63f55525.service，看到加载恶意文件/9ac8a281

查看这个守护进程的具体配置，找到恶意文件的位置/usr/bin/9ac8a28120cf5089

cat/usr/lib/systemd/system/63f55525.service

[Service]

Type=simple

User=root

TimeoutStartSec=1200

ExecStart=/usr/bin/9ac8a28120cf50899ac8a281

Restart=always

RestartSec=4h

KillMode=process

##全局查找是否还有恶意文件

find/-name9ac8a28*

查看开机启动项、定时任务、系统账号、挂载，无异常

cat/var/spool/cron/crontabs

cat/etc/passwd

df-h

cat/proc/mounts

cat/etc/rc.local

cat:/etc/rc.local:Nosuchfileordirectory

(base)root@gpua15:/var/spool/cron/crontabs#systemctlstatusrc-local

●rc-local.service-/etc/rc.localCompatibility

Loaded:loaded(/lib/systemd/system/rc-local.service;static;vendorpreset:enabled)

Drop-In:/usr/lib/systemd/system/rc-local.servic