新闻中心
Linux挖矿木马来袭
发布时间:2023-02-24 11:02:29 点击量:1076
近期, 一款针对Linux系统的使用Go语言编译的挖矿木马正通过SSH暴力破解方式传播,占用受感染主机挖矿资源,严重影响主机正常业务运转。同时,该木马具备典型的挖矿病毒传播手段,如修改防火墙规则、同网段扫描以及SSH暴力破解横向扩散等。因该木马主模块Go项目名为Sshworm,遂将其命名为 Sshworm挖矿木马。
挖矿木马早已成为巨大的黑产链条,Linux服务器也是挖矿的重灾区。360安全大脑提醒广大政企用户,及时做好安全防范措施,保障内网计算资源的安全。
【病毒分析】
1、恶意文件路径
/tmp/xmr
/tmp/xmr00
/tmp/config.json
/tmp/secure.sh
/tmp/auth.sh
/usr/.work/work32
/usr/.work/work64
2、病毒创建的文件夹
/usr/.work
/root/.ssh
3、病毒修改的文件
/root/.ssh/authorized_keys(写入了攻击者ssh公钥)
/etc/rc.d/rc.local
/var/spool/cron/root(写入了启动木马主模块work32/work64的定时任务)/var/spool/cron/crontabs/root(写入了启动木马主模块work32/work64的定时任务)
4、创建定时任务
木马会执行创建定时任务操作,主要包括:
(1) 创建文件夹/root/.ssh、/usr/.work
(2) 在/root/.ssh/authorized_keys文件中添加攻击者ssh公钥
(3) 向/var/spool/cron/root、/var/spool/cron/crontabs/root写入启动木马主模块work32/work64的定时任务
此外,木马还会向/var/spool/cron/root、/var/spool/cron/crontabs/root文件中写入启动木马主模块work32/work64的定时任务:
对于32位系统为:0 * * * *root /usr/.work/work32
对于64位系统为:0 * * * *root /usr/.work/work64
5、添加防火墙规则
木马还会添加新的防火墙规则,确保8017端口的所有流量正常通过:
iptables -I INPUT -p tcp --dport 8017 -jACCEPT
iptables -I OUTPUT -p tcp --sport 8017 -jACCEPT
iptables -I PREROUTING -t nat -p tcp --dport8017 -j ACCEPT
【解决方案】
360安全大脑建议广大政企用户提早做好防范,可部署360终端安全管理系统,通过内置的引擎查杀矩阵,对包括Sshworm在内的恶意挖矿木马进行快速免疫: 作者:360闲聊站 https://www.bilibili.com/read/cv12849528/ 出处:bilibili