IT评测·应用市场-qidao123.com

标题: 服务器遭遇挖矿怎么办？ [打印本页]

---

作者: 吴旭华    时间: 2024-6-11 19:29
标题: 服务器遭遇挖矿怎么办？
配景

根据某安全公司安全威胁检测到在2019年中，恶意软件拦截量为181.07亿次，此中挖矿类恶意软件感染占比最多（58%）,其次为长途木马（占比14%），企业或组织内文件共享等机制也使得感染型病毒的比例在9%左右。恶意软件一哥挖矿软件攻击势头非常猛，加密货币挖矿流量较客岁增长约100%，在类型上也趋向隐性更好的币种，潜伏性更好的无文件挖矿也给企业或组织带来了严峻的考验。

什么是挖矿

        我们先来了解下虚拟货币，以比特币为例，比特币是一种由开源的P2P软件产生的网络虚拟货币，它不依赖特定货币机构发行，通过特定算法的大量计算产生，比特币经济使用整个P2P网络中浩繁节点构成的分布式数据库来确认并纪录全部的生意业务举动。

矿工必要为比特币网络提供的算法来换取比特币，每一个比特币的节点都会收集全部尚未确认的生意业务，并将其归集到一个数据块中，矿工节点会附加一个随机调解数，并计算前一个数据块的SHA-256散列运算值。挖矿节点不停重复进行实验，直到它找到的随机调解数使得产生的散列值低于某个特定的目标，因此挖矿必要泯灭大量的计算机CPU资源。

 

怎样确认服务器在挖矿

        由于挖矿对计算机的性能要求比力高，老谋深算的矿工就把罪过的双手伸向了企业，通过各种本领入侵到各个单位的内网，运行挖矿程序，使用别人的计算资源挖矿，自己不劳而获，的确是高手高手高高手。怎样快速地识别内网中是否有挖矿成为了当下网络情况中重要的环节，可以从以下几个方面快速定位
1.检查系统资源

Windows
       计算机一旦实行了挖矿程序，会占用大量的CPU资源，此时服务器就会变得非常卡顿。可以通过任务管理器检察服务器资源占用情况，可以看到CPU占用100%

Linux
实行top下令检察当前历程负载，可以看到这个watchbog的历程CPU占用100%，而Linux的正常历程是watchdog，很明显，这个历程是黑客估计肴杂视听的。

2.检察筹划任务&启动项

Windows
从任务管理中可以看到，有一条使用powershell实行的下令，每5分钟实行一次

Linux
实行crontab -l检察筹划任务。可以看到这个筹划任务是用于下载挖矿脚本的地点

3.检察安整日记

攻击者渗透到内网后，首选的横向攻击是RDP暴力破解，选择一台机器作为肉机，扫描内网的3389端口，扫描完成后进行暴力破解。此时我们可以检察系统的安整日记，检察是否有事件ID为4625的日记。
Windows

Linux
检察主机登录日记
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
检察爆破的源IP
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
检察爆破日记的用户名密码
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
在态势感知上看到黑客上传一个jsp脚本，哀求体中是长途实行的下令，响应体返回当前用户的负载信息

4.检察网络安全装备日记

很多公司都会部署防火墙或态势感知等安全装备，当内网有机器发起挖矿时，通常都能够被安全装备检测到，如下图所示，很明显，这个就是驱动人生的远控木马。

5.威胁情报

当我们不能确定服务器访问的域名是否是恶意时，可以借助势胁情报来判定，我个人常用的威胁情报是微步和virustotal，中西联合。
根据步调2中的编码，通过base64解码，得到黑客后门地点

到微步上查询beahh.com域名，确认为恶意域名

通过以上的几个环节，信赖我们已经有足够的证据确认服务器是否在挖矿。
挖矿木马处置流程

在上一步我们已经识别到了机器在挖矿，接下来就要开始进行摒挡这些可恶的家伙了
1.结束挖矿历程

Windows
将占用CPU高的历程结束，但挖矿很调皮，通常有守护历程，当结束后过一会又会被重新拉起，这时我们必要观察任务管理器中哪些历程比力可疑，可以检察历程的数字签名，很多挖矿历程是伪造证书或无证书，我们必要静下心来逐步分析，推荐使用历程分析工具：processexplorer、processmonitor，绿色无公害

Linux
枚举历程下令行
ps -aux
结束历程
kill -9 pid
2.删除筹划任务&启动项

Windows

Linux
crontab -e
3.使用杀毒软件查杀

Windows
可以使用公司采购的贸易软件查杀，也可以使用免费的杀毒软件，如360、火绒等等

Linux
若有购买贸易杀毒软件可以使用贸易杀毒软件，否则可以使用开源的杀毒软件
安装chkrootkit 进行扫描：

1. Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar -zxvf rkhunter-1.4.4.tar.gzcd rkhunter-1.4.4./installer.sh --installrkhunter -c

复制代码

安装rkhunter 进行扫描

1. Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar -zxvf rkhunter-1.4.4.tar.gzcd rkhunter-1.4.4./installer.sh --installrkhunter -c

复制代码

4.在网关处阻断恶意域名外联

每个企业使用的产品都不一样，可以根据实际情况配置相关策略即可。
溯源 

当服务器被植入挖矿程序，并进行处置后，为了避免再次被入侵，我们必要找出0号机器，也就是最开始被黑客入侵的机器。别的，发生安全事件后，我们还必要向向导进行工作汇报，这个溯源的过程也是证明我们安全人员专业本领的时候了，是时候刷一波存在感了，要不然向导会说：要你有何用。


1.应用层面

只要在安全圈子的安全从业人员信赖经常会听到XXX系统爆出长途代码实行毛病，XXX中心件权限绕过毛病，因此，当服务器在挖矿时，我们起首要检查该业务系统所采用的框架或中心件是否存在毛病，好比weblogic 反序列化毛病，攻击者可以使用毛病进行长途代码实行；Tomcat的manager管理后台配置错误也同样可以长途代码实行。必要时，可以做一次渗透测试，确保在应用层的安全性。
举个栗子，有些开发为了部署方便，启用了Tomcat的管理后台，更可恶的是还是用了弱密码，在这个页面可以上传war包，进而实现长途下令实行。

2.主机层面

这种一般都是通过钓鱼邮件或从网上下载的恶意文件导致的，说到这里，就不得不说一下驱动人生，在2018年12月份，电脑驱动管理软件驱动人生被黑客植入恶意代码，具备长途代码实行功能，启动后会将用户计算机的具体信息发往木马服务器，并接受长途指令实行下一步操作，同时该木马还携带永恒之蓝毛病攻击模块，更高级的攻击方式是使用minikatz抓取当地密码，并存入字典，进行横向暴力破解，如此一来，实现分布式攻击，分布式挖矿。
检察系统安整日记，检查是否有事件ID为4625稽核失败的日记，并根据源IP找到攻击源，如此类推，可以一层一层地找到更多的肉机。有时候大概会出现日记被覆盖的情况，大概无法找到跳板机，此时可以借助态势感知等网络装备检察内网的攻击链。

Linux服务器可以参考上面提到的查日记的方法进行溯源。
加固建议

1.加强基线安全

之所以内网成为了挖矿重灾区，很大原因是使用了弱口令，包罗很多开发人员，为了方便，将登陆口令设置为弱口令甚至空口令，有些员工会说，我的电脑没联网啊，怎么会被攻击呢？殊不知，内网也有被攻陷的一天。部署堡垒机，全部服务器必须通过堡垒机登录，缩小攻击面，如果是Linux服务器，可以使用证书登录而不是密码，这种被爆破的几率就小了很多。针对办公电脑开启长途桌面的情况，我们可以定期扫描公司内网开启3389、22端口的机器，并进行暴力破解。这样子我们就知道内网存在哪些风险点。
2.关闭不必要服务

关闭相关共享端口(135、137、138、139、445)及不必要的端口。应用管理后台尽量不开放到外网。
3.打补丁

打补丁是老生常谈的话题，像永恒之蓝这类的补丁在部署的时候就应该打上。但有些服务器不能随便打补丁，会影响业务。针对这种情况，可以通过虚拟补丁或IPS来避免毛病被使用。
4.安装终端防病毒

杀毒软件可以拦截暴力破解，扫除病毒文件，掩护末了一道防线。市面上杀毒软件乱七八糟，选择一款得当的杀毒软件至关重要。可以在病毒检测准确度、防爆破、基线检查、毛病检查/修复、资源占用巨细、管理易用性、webshell查杀、僵尸网络、市场占有率、系统兼容性等各个维度来进行选购。
5.部署安全网关

服务器上的木马下载器会毗连黑客的远控服务器，下载病毒文件，安全网关可以有用拦截木马下载器下载，黑客也就无法长途操控服务器。安全DNS也是一个不错的选择，大部分公司都会在内网部署DNS服务器，部署安全DNS可以在主机解析恶意域名时就拦截。
6.定期信息安全意识培训

研究表明，75%的信息安全事件是人为造成，因此低沉人的不安全举动可至关重要，而在安全意识培训中，钓鱼邮件演练是比力有用让员工提升安全意识的有用本领之一。信息安全意识培训涉及的内容较多，这里不细说，有机会开个专栏解说信息安全意识培训。

题外话

初入计算机行业的人大概大学计算机相关专业结业生，很多因缺少实战经验，就业处处碰钉子。下面我们来看两组数据：

• 2023届全国高校结业生预计到达1158万人，就业形势严峻；
  
• 国家网络安全宣传周公布的数据表现，到2027年我国网络安全人员缺口将达327万。
  

一方面是每年应届结业生就业形势严峻，一方面是网络安全人才百万缺口。
6月9日，麦可思研究2023年版就业蓝皮书（包罗《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。
2022届大学结业生月收入较高的前10个专业
本科计算机类、高职主动化类专业月收入较高。2022届本科计算机类、高职主动化类专业月收入分别为6863元、5339元。此中，本科计算机类专业起薪与2021届根本持平，高职主动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。
具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、主动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均到达了19%。数据科学与大数据技术虽是比年新增专业但表现亮眼，已跻身2022届本科结业生结业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 
网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多
2019年9月18日《中华人民共和国中心人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多
网络安全行业财产以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品司理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难规复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争上风。
随着个人本领的不停提升，所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受各人接待的重要原因。
从某种程度来讲，在网络安全领域，跟大夫职业一样，越老越吃香，因为技术愈加成熟，天然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全怎样学习

本日只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但根本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频解说。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、毛病详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能逐一展开，统共300多集）
因篇幅有限，仅展示部分资料，必要生存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包罗我参加大型网安行动、CTF和挖SRC毛病的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不逐一展示了。 

 因篇幅有限，仅展示部分资料，必要生存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为各人总结出了最受接待的几十款款黑客工具。涉及范围重要会合在 信息收集、Android黑客工具、主动化工具、网络钓鱼等，感兴趣的同砚不容错过。 

 还有我视频里讲的案例源码和对应的工具包，必要的话也可以拿走。
因篇幅有限，仅展示部分资料，必要生存下方图片，微信扫码即可前往获取

 末了就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。
这些题目都是各人在面试深佩服、奇安信、腾讯大概别的大厂面试时经常遇到的，如果各人有好的题目大概好的见解接待分享。
参考解析：深佩服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清晰，含图像化表现更加易懂。
内容概要：包罗 内网、操作系统、协议、渗透测试、安服、毛病、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包罗、XXE、逻辑毛病、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，必要生存下方图片，微信扫码即可前往获取 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)

Powered by Discuz! X3.4