本文及资源最后更新时间 2022-04-24 by sky995

什么是挖矿木马

挖矿木马会占用CPU进行超频运算，从而占用主机大量的CPU资源，严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源，一般都会对全网进行无差别扫描，同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点，在主机被成功入侵之后，挖矿木马还会向内网渗透，并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示：

二. 挖矿木马中招特征

挖矿木马会在用户不知情的情况下利用主机的算力进行挖矿，最明显的特征就是主机的CPU被大量消耗，查看云主机CPU占用率的方法有两种：

1. 控制台实例监控

2. 主机执行TOP命令

如下图所示，通过执行top命令，即可在返回结果中看到当时系统的CPU占用率。

top -c

如果您的主机CPU占用率居高不下，那么主机很有可能已经被植入了挖矿木马，会影响服务器上的其他应用的正常运行，需要立刻上机排查。

三. 清理挖矿木马

1. 及时隔离主机

部分带有蠕虫功能的挖矿木马在取得主机的控制权后，会继续对公网的其他主机，或者以当前主机作为跳板机对同一局域网内的其他主机进行横向渗透，所以在发现主机被植入挖矿木马后，在不影响业务正常运行的前提下，应该及时隔离受感染的主机，然后进行下一步分析和清除工作。

腾讯云主机可以通过设置安全组隔离主机，具体参考如下链接：https://cloud.tencent.com/document/product/215/20089

2. 阻断异常网络通信

挖矿木马不仅会连接矿池，还有可能会连接黑客的C2服务器，接收并执行C2指令、投递其他恶意木马，所以需要及时进行网络阻断。

（1）检查主机防火墙当前生效的iptables规则中是否存在业务范围之外的可疑地址和端口，它们可能是挖矿木马的矿池或C2地址

iptables -L -n

（2）从iptables规则中清除可疑地址和端口

vi /etc/sysconfig/iptables

（3）阻断挖矿木马的网络通信

iptables -A INPUT -s 可疑地址 -j DROP
iptables -A OUTPUT -d 可疑地址 -j DROP

3. 清除计划任务

大部分挖矿木马会通过在受感染主机中写入计划任务实现持久化，如果仅仅只是清除挖矿进程，无法将其根除，到了预设的时间点，系统会通过计划任务从黑客的C2服务器重新下载并执行挖矿木马。

挖矿木马常见的计划任务通常是下载并执行sh脚本，如下图所示:

可以通过执行如下命令查看是否存在可疑定时任务，若有，则先保存相关记录用于后续分析，再进行删除：

查看系统当前用户的计划任务：

crontab -l

查看系统特定用户的计划任务：

crontab -u username -l

查看其他计划任务文件：

cat /etc/crontab
cat /var/spool/cron
cat /etc/anacrontab
cat /etc/cron.d/
cat /etc/cron.daily/
cat /etc/cron.hourly/
cat /etc/cron.weekly/
cat /etc/cron.monthly/
cat /var/spool/cron/

4. 清除启动项

除了计划任务，挖矿木马通过添加启动项同样能实现持久化。可以使用如下命令查看开机启动项中是否有异常的启动服务。

CentOS7以下版本：

chkconfig –list

CentOS7及以上版本：

systemctl list-unit-files

如果发现有恶意启动项，可以通过如下命令进行关闭：

CentOS7以下版本：

chkconfig 服务名 off

CentOS7及以上版本：

systemctl disable 服务名

另外，还需要仔细排查以下目录及文件，及时删除可疑的启动项：

/usr/lib/systemd/system
/usr/lib/systemd/system/multi-user.target.wants
/etc/rc.local
/etc/inittab
/etc/rc0.d/
/etc/rc1.d/
/etc/rc2.d/
/etc/rc3.d/
/etc/rc4.d/
/etc/rc5.d/
/etc/rc6.d/
/etc/rc.d/

排查的时候，可以按照文件修改时间来排序，重点排查近期被创建服务项。如下图所示，系统近期被创建了一个名为bot.service的服务，该服务在系统启动时会启动/etc/kinsing这个木马文件，需要关闭bot服务，并删除/etc/kinsing文件。

5. 清除预加载so

通过配置/etc/ld.so.preload，可以自定义程序运行前优先加载的动态链接库，部分木马通过修改该文件，添加恶意so文件，从而实现挖矿进程的隐藏等恶意功能。

检查/etc/ld.so.preload（该文件默认为空），清除异常的动态链接库。可以执行`> /etc/ld.so.preload`命令进行清除。

6. 清除SSH公钥

挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥，这样子就算用户将挖矿木马清除得一干二净，黑客还是可以免密登陆该主机，这也是常见的保持服务器控制权的手段。

排查~/.ssh/authorized_keys文件，如果发现可疑的SSH公钥，直接删除。

7. 清除挖矿木马

（1）清除挖矿进程

挖矿木马最大的特点就是会在用户不知情的情况下，利用主机的算力进行挖矿，从而消耗主机大量的CPU资源，所以，通过执行如下命令排查系统中占用大量CPU资源的进程。

top -c
ps -ef

确认相关进程为挖矿进程后，按照如下步骤将其清除：

获取并记录挖矿进程的文件路径：

ls -l /proc/$PID/exe

杀死挖矿进程：

kill -9 $PID

删除挖矿进程对应的文件

（2）清除其它相关恶意进程

恶意进程与外部的C2服务器进行通信时，往往会开启端口进行监听。执行如下命令，查看服务器是否有未被授权的端口被监听。

netstat -antp

若有未授权进程，按照如下步骤将其清除：

获取并记录未授权进程的文件路径：

ls -l /proc/$PID/exe

杀死未授权进程：

kill -9 $PID

删除未授权进程对应的文件

还可以通过如下命令排查近期新增的文件，清除相关木马

 find /etc -ctime -2 （这里指定目录为/etc，获取近2天内的新增文件）
 lsof -c kinsing （这里要查看文件名为kinsing的相关进程信息）

8. 风险排查、安全加固

对系统进行风险排查和安全加固，避免挖矿木马卷土重来，详情可参考如下链接：https://cloud.tencent.com/document/product/296/9604

四. 常见问题

1. 明明刚刚清理了挖矿木马，没过多久就又卷土重来？

很多用户会反馈挖矿木马老是清理不干净，明明已经Kill了进程，删除了木马文件，没过多久，CPU占用率又上来了。究其根本，还是因为清除得不够彻底。大部分用户都只是Kill掉挖矿进程和对应文件，却没有清理计划任务和守护进程。

一般建议先清除计划任务、启动项、守护进程，再清除挖矿进程和其他恶意进程。

2. 如何判定可疑进程是否为恶意进程？

如下图所示，未知进程kinsing监听本地31458端口，非常可疑，可通过如下方法判定：

（1）执行`ls -al /proc/$PID/exe`确认可疑进程对应的文件；

（2）若文件未被删除，则直接上传文件到Virustotal进行检测，或者计算出文件对应的md5，使用md5去Virustotal进行查询；若文件已被删除，可执行`cat /proc/$PID/exe > /tmp/t.bin`将进程dump到特定目录，再上传文件到Virustotal或者计算dump文件对应的md5到Virustotal进行查询。如果有多款杀毒引擎同时检出，那基本可以判定该进程为恶意进程。

Virustotal地址：https://www.virustotal.com/gui/s

3. 为什么系统CPU占用率接近100%，却看不到是哪个进程导致的？

如下图所示，系统CPU占用率接近100%，却看不到是哪个进程导致的，这种情况一般是因为系统命令被木马篡改了，从而隐藏了木马进程的踪迹，让用户无法进行溯源分析。

命令篡改有多种方式，分别如下：

（1）top源文件被篡改，恶意进程信息被过滤后返回

通过执行如下命令即可复原：

rm -rf /usr/bin/top && mv /usr/bin/top.original /usr/bin/top

（2）篡改预加载so文件，ls、top、ps等命令已经被木马的动态链接库劫持，无法获得木马进程相关的信息

通过执行如下命令即可复原：

> /etc/ld.so.preload && rm -rf 恶意so文件路径

【相关文章】https://cloud.tencent.com/developer/article/1744547

（3）通过其他未知手段篡改系统命令

可分别尝试如下两种方案解决：

i.从其他相同版本系统中拷贝命令源文件到当前系统中进行覆盖；可使用uname -a命令查看当前系统版本；

ii.或者安装busybox来对系统进行排查。busybox是一个集成了300多个最常用Linux命令和工具的软件，可以使用busybox替代系统命令对系统进行排查；

 yum -y install wget make gcc perl glibc-static ncurses-devel libgcrypt-devel
 wget http://busybox.net/downloads/busybox-1.33.0.tar.bz2
 tar -jxvf busybox-1.33.0.tar.bz2
 cd busybox-1.33.0 && make && make install

【相关文章】https://www.cnblogs.com/angryprogrammer/p/13456681.html

持续更新中…

的一路攀升，利用计算机资源“挖矿”的行为逐渐盛行，挖矿木马呈明显增长的趋势。在巨大利益的驱使下，为了得到更多的算力资源，黑客往往对全网进…

比特币暴涨引发挖矿木马成倍增长，企业如何冲破“木马围城”？

受比特币暴涨影响，各类数字虚拟币市值均有大幅增长。而虚拟货币繁荣背后，黑色数字产业链却早已将方向转向“挖矿”领域，挖矿木马仍是企业服务器被攻陷后植入的主要木马类…

记一次套路较深的双家族挖矿事件应急响应

某日接到用户电话，用户某应用系统微信公众号平台服务器应用运行异常掉线卡顿，运维人员检查后发现服务器存在占用大量CPU资源的恶意进程，且无法清除该进程，导致WEB…

黑产军团控制四百万肉鸡集群，掘金区块链数字货币

随着区块链技术的火爆，比特币、以太币、瑞波币等数字货币被持续热炒，交易市值和价格一路走高，许多人看好数字货币的发展，纷纷加入“挖矿”大军。与此同时，数字货币的火…

TeamTNT 样本新变种分析

一、背景云鼎实验室近期捕获到TeamTNT黑客团伙新的容器攻击活动。挖矿病毒通过扫描docker remote api未授权访问漏洞进行传播。相比之前Tea…

一起XMR门罗币挖矿变种分析

近期观测到，Linux下DDG变种挖矿病毒又在全国范围内大规模爆发，该样本通过SSH爆破进行攻击，执行恶意程序，下载伪装成图片的门罗币挖矿木马，设置为开机启动…

多部委加强整治，腾讯安全帮助企业抵御“挖矿”木马

11月16日，国家发改委举行新闻发布会，重点提及了虚拟货币“挖矿”治理。会上，新闻发言人孟玮明确阐述了虚拟货币“挖矿”的危害，并表示将持续做好虚拟货币“挖矿”全…

kworkerds 挖矿木马简单分析及清理

公司之前的开发和测试环境是在腾讯云上，部分服务器中过一次挖矿木马 kworkerds，本文为我当时分析和清理木马的记录，希望能对大家有所帮助。

腾讯安全发布挖矿木马年度报告：供应链感染或成黑产流行手法

随着数字货币价值不断攀升，盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后，近年来在挖矿木马全球范围持续活跃，每年都有大量…

“太极挂机”软件圈钱骗局：披着网赚外衣的“三合一”挖矿木马

近期，网上兴起一种“太极挂机”软件，声称只需下载运行该软件无需任何操作就能轻松挂机赚钱。360安全中心经分析发现，所谓的挂机网赚只是木马病毒的幌子。包括“太极挂…

腾讯主机安全（云镜）兵器库：斩杀挖矿木马的利剑-BinaryAI引擎

之前几期，我们介绍了挖矿木马威胁被许多人低估，参考疫情防控措施可以对挖矿木马威胁层层防御。这一期，我们向朋友们详细介绍腾讯安全技术团队如何利用人工智能方法，开发…

实战矿马：消灭“薅羊毛”门罗币矿马(config.sh；zhihuatnail.so；sshd2)

我又来消灭挖矿木马了，这次消灭的挖矿文件为config.json；zhihuatnail.so；sshd2这三个矿马。

挖矿木马自助清理手册