Linux云主機(jī)CoinMiner病毒的清除與防范

姜榮正　姜榮中

摘要：隨著云技術(shù)日益成熟，Linux云主機(jī)已成為部署互聯(lián)網(wǎng)應(yīng)用服務(wù)首選，在互聯(lián)網(wǎng)市場(chǎng)占據(jù)了重要的地位。同時(shí)各種漏洞以及木馬的攻擊活動(dòng)日益猖獗，Linux云主機(jī)成為了攻擊對(duì)象，任何安全漏洞問(wèn)題，都會(huì)給企業(yè)帶來(lái)巨大的利益?zhèn)Α１疚尼槍?duì)Linux云主機(jī)遭遇木馬漏洞攻擊的安全問(wèn)題，以實(shí)際的項(xiàng)目案例為基礎(chǔ)，分析并追蹤了CoinMiner挖礦病毒運(yùn)行的表象和總結(jié)出清理步驟，并結(jié)合項(xiàng)目實(shí)際經(jīng)驗(yàn)提出一些有效的防范建議。

關(guān)鍵詞：云主機(jī);CoinMiner;安全防范

1.引言

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）監(jiān)測(cè)數(shù)據(jù)表明，雖然國(guó)內(nèi)主流云平臺(tái)使用的IP地址數(shù)量?jī)H占我國(guó)境內(nèi)全部IP地址數(shù)量的7.7%，但云平臺(tái)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，在各類(lèi)型網(wǎng)絡(luò)安全事件數(shù)量中，云平臺(tái)上的DDoS攻擊次數(shù)、被植入后門(mén)的網(wǎng)站數(shù)量、被篡改網(wǎng)站數(shù)量均占比超過(guò)50%。從云平臺(tái)上發(fā)出的攻擊增多，是因?yàn)樵品?wù)使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性，且云網(wǎng)絡(luò)流量的復(fù)雜性有利于攻擊者隱藏真實(shí)身份，攻擊者更多的利用云平臺(tái)設(shè)備作為跳板機(jī)或控制端發(fā)起網(wǎng)絡(luò)攻擊。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）編寫(xiě)的《2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》報(bào)告指出，勒索病毒、挖礦木馬在黑色產(chǎn)業(yè)刺激下持續(xù)活躍。2018年上半年釣魚(yú)網(wǎng)站攻擊次數(shù)刷新了歷史最高值，其中針對(duì)虛擬貨幣交易所賬戶(hù)認(rèn)證信息的攻擊占總次數(shù)的18.5%;惡意挖礦軟件Coinminer的檢出次數(shù)高達(dá)41萬(wàn)次。隨著2019年下半年加密貨幣價(jià)格持續(xù)走高，挖礦木馬更加活躍。

大部分的木馬病毒主要針對(duì)Windows的漏洞進(jìn)行傳播和感染，Linux相比較而言是安全的。但是隨著信息技術(shù)的不斷演變，沒(méi)有絕對(duì)的安全，針對(duì) Linux系統(tǒng)的攻擊手段越來(lái)越多，很多木馬病毒通過(guò)程序的形式發(fā)布在Linux服務(wù)器上，來(lái)竊取用戶(hù)和企業(yè)的數(shù)據(jù)信息，Linux服務(wù)器的安全風(fēng)險(xiǎn)越來(lái)越重要。如何應(yīng)對(duì)外界的木馬病毒的攻擊來(lái)保證服務(wù)器的安全，已經(jīng)成為一項(xiàng)重要的研究性課題。

本文將以項(xiàng)目為例分析CoinMiner病毒的清理過(guò)程，并針對(duì)目前比較流行的挖礦病毒的植入攻擊提出一些具體的防護(hù)措施。

2.挖礦病毒的發(fā)現(xiàn)與清理

制造和投放挖礦木馬的動(dòng)機(jī)很簡(jiǎn)單，就是利益。挖礦木馬本身無(wú)害，所以很多殺毒引擎都不會(huì)標(biāo)記挖礦行為是可疑行為。挖礦行為同時(shí)伴隨著憑證竊取的行為，從而可以實(shí)現(xiàn)更好的橫向擴(kuò)展，擴(kuò)大整個(gè)挖礦木馬的感染率。

“永恒之藍(lán)”下載器木馬、WannaMiner、BuleHero等挖礦團(tuán)伙頻繁推出挖礦木馬變種，并利用各類(lèi)安全漏洞、僵尸網(wǎng)絡(luò)、網(wǎng)盤(pán)等進(jìn)行快速擴(kuò)散傳播，WannaMine、Xmrig、CoinMiner等成為2019年最為流行的挖礦木馬家族，最為常見(jiàn)的三種挖礦木馬最為：XMRig、CoinHive和CoinMiner。其中，XMRig屬于在計(jì)算機(jī)上安裝后進(jìn)行門(mén)羅幣挖礦的程序，CoinHive是將一段JavaScript代碼內(nèi)置在網(wǎng)站中，訪(fǎng)客訪(fǎng)問(wèn)時(shí)進(jìn)行門(mén)羅幣挖礦的行為，CoinMiner與XMRig類(lèi)似。

常見(jiàn)的挖礦病毒都是將挖礦程序封裝，偽裝成系統(tǒng)程序，添加服務(wù)器開(kāi)機(jī)自啟動(dòng)來(lái)進(jìn)行持久化的運(yùn)行，利用系統(tǒng)資源來(lái)幫助黑客挖礦，對(duì)客戶(hù)沒(méi)有太大的安全危害，會(huì)造成服務(wù)器的性能變差，影響企業(yè)的正常服務(wù)。針對(duì)上文談及到本身的Linux系統(tǒng)的安全隱患問(wèn)題，本文針對(duì)某企業(yè)遭遇挖礦病毒提出一種定位攻擊行為和服務(wù)器恢復(fù)的方法。

2.1 CoinMiner病毒的發(fā)現(xiàn)和清理

背景：某企業(yè)云平臺(tái)在日常巡檢的過(guò)程中，發(fā)現(xiàn)Linux服務(wù)器的apache web服務(wù)和nignix反向服務(wù)無(wú)響應(yīng)。經(jīng)過(guò)運(yùn)維人員和研發(fā)人員的排查，發(fā)現(xiàn)web服務(wù)和反向服務(wù)被終止。因此開(kāi)始進(jìn)行以下幾點(diǎn)服務(wù)器的排查：

（1） 確認(rèn)異常進(jìn)程。

使用ps和top命令查看是否有異常進(jìn)程，發(fā)現(xiàn)異常進(jìn)程tsm。

（2） 定位進(jìn)程目錄

使用file /proc/64645/exe，發(fā)現(xiàn)tsm文件路徑在/tmp目錄下

（3） 清理定時(shí)任務(wù)

查詢(xún)用戶(hù)任務(wù)情況。

在kill病毒進(jìn)程后，沒(méi)過(guò)多久發(fā)現(xiàn)進(jìn)程又啟動(dòng)了 。通過(guò)排查crontab任務(wù)，清理掉啟動(dòng)任務(wù)，殺掉進(jìn)程，然后備份病毒程序，刪除病毒程序，觀察12小時(shí)，服務(wù)正常，無(wú)異常進(jìn)程啟動(dòng)。

（4） 部署clamav查殺

通過(guò)部署免費(fèi)殺毒軟件clamav，更新最新病毒文件，全盤(pán)查殺無(wú)除了備份文件提示為Multios.Coinminer.Miner-6781728-2 外，無(wú)其他文件受感染。

2.2 挖礦病毒的隔離分析

將備份病毒程序copy在蜜罐中，運(yùn)行病毒程序，發(fā)現(xiàn)修改SSH授權(quán)，允許黑客遠(yuǎn)程免密登錄，需要在受害機(jī)器上存儲(chǔ)黑客公匙。修補(bǔ)生產(chǎn)環(huán)境的root的ssh的授權(quán)。通過(guò)解壓dota3.tar.gz文件，病毒程序由a，b，c三部分組成：

a部分專(zhuān)門(mén)結(jié)束大部分競(jìng)品，包括刪除文件，殺死進(jìn)程，清掉服務(wù)。運(yùn)行l(wèi)inux挖礦木馬。

b部分為下載后門(mén)入侵代碼和免密授權(quán)。其中run代碼生成一段加密的perl代碼，解密后可以看到是perl版的ircbot后門(mén)。

c部分為存放的是ssh弱口令爆破相關(guān)的工具。

2.3 挖礦病毒入侵入口推測(cè)

由于相關(guān)日志文件被破壞，無(wú)從得知入侵入口，通過(guò)病毒的運(yùn)作機(jī)理，初步推斷是通過(guò)利用SSH弱密碼攻擊控制Linux服務(wù)器。修改生產(chǎn)環(huán)境root密碼，將root設(shè)置成不能遠(yuǎn)程訪(fǎng)問(wèn)，修復(fù)用戶(hù)和用戶(hù)組等數(shù)據(jù)。

3. 挖礦病毒的防范

挖礦病毒與其他病毒相比較而言，沒(méi)有太大的差別，挖礦病毒常見(jiàn)的攻擊方法具備持久性和攻擊性長(zhǎng)期占用服務(wù)器大量的CPU或GPU的計(jì)算資源，對(duì)于云計(jì)算的企業(yè)而言，云主機(jī)的感染會(huì)拖垮整個(gè)云平臺(tái)成千上萬(wàn)的性能，大量的占用資源會(huì)造成企業(yè)平臺(tái)的癱瘓， 業(yè)務(wù)的宕機(jī)，給企業(yè)和用戶(hù)造成很大的損失。在互聯(lián)網(wǎng)時(shí)代和信息時(shí)代不斷發(fā)展的領(lǐng)域，攻擊和防護(hù)是一對(duì)矛盾體，攻擊時(shí)刻都在進(jìn)行著，那么如何提高安全防護(hù)能力呢？針對(duì)某企業(yè)云平臺(tái)遭遇挖礦病毒的植入和攻擊，需要進(jìn)一步吸取教訓(xùn)。一般攻擊主機(jī)要分為系統(tǒng)安全的攻擊和網(wǎng)絡(luò)安全的攻擊。常見(jiàn)的攻擊行為是服務(wù)器賬號(hào)口令被暴力破解，木馬病毒的植入，端口的入侵，拒絕服務(wù)攻擊，僵尸網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)監(jiān)聽(tīng)等。面對(duì)一系列的攻擊手段，從多個(gè)方面提出以下幾點(diǎn)相應(yīng)的防護(hù)措施：

（1） 提高系統(tǒng)賬號(hào)的安全性，做好賬號(hào)管理工作。系統(tǒng)賬號(hào)需要設(shè)置復(fù)雜的口令，避免弱口令。普通賬號(hào)權(quán)限加以授權(quán)，需要限制在允許的范圍內(nèi)。

（2） 啟動(dòng)防火墻和SELinux，監(jiān)控高危端口，關(guān)閉不必要的端口，減小入侵機(jī)率。

（3） 做好系統(tǒng)日志的備份策略，記錄系統(tǒng)每天運(yùn)行情況，時(shí)刻監(jiān)測(cè)系統(tǒng)的更新情況。

（4） 關(guān)閉Linux不必要的服務(wù)，嚴(yán)格控制服務(wù)安全。

（5） 查看服務(wù)器的系統(tǒng)性能，檢查異常進(jìn)程是否占用過(guò)多的資源。

（6） 針對(duì)挖礦病毒特點(diǎn)，加強(qiáng)監(jiān)控用戶(hù)主目錄和/tmp目錄下異常文件的產(chǎn)生。

（7） 加強(qiáng)宣傳安全防控策略，培訓(xùn)相關(guān)技術(shù)人員，提高安全意識(shí)

（8） 制定一套完備的安全防控和應(yīng)對(duì)體系，將生產(chǎn)和防護(hù)兩者相統(tǒng)一，加大安全力度。

（9） 建立安全漏洞和病毒掃描機(jī)制，定期進(jìn)行服務(wù)器病毒掃描和代碼代碼，查殺疑似病毒的程序。

4 結(jié)論

針對(duì)Linux系統(tǒng)的存在的不確定漏洞以及攻擊手段的日益成熟，服務(wù)器的安全問(wèn)題成為各大企業(yè)不可忽視的問(wèn)題。本文結(jié)合了具體項(xiàng)目遭遇挖礦病毒的實(shí)際經(jīng)驗(yàn)，分析病毒的病理，提出了針對(duì)挖礦病毒的防范意見(jiàn)。

參考文獻(xiàn)

[1] 胡冠宇，楊明.Linux 服務(wù)器安全問(wèn)題的分析與研究[J].軟件工程，2014，17（08）：7-9.

[2]王佳.現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防護(hù)研究[J].信息與電腦（理論版），2019，31（22）：190-192.

[3]王作成. 某企業(yè)私有云病毒查殺平臺(tái)建設(shè)與實(shí)現(xiàn)[D].吉林大學(xué)，2018.

[4]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL]（2020-04-20）[2020-05-14]. http：//www.cac.gov.cn/2020-04/20/c_1588932297982643.htm.