網(wǎng)友解答: 加密貨幣劫持（俗稱惡意挖礦）是一種新興的在線威脅，它隱藏在服務(wù)器或PC等設(shè)備上，并利用設(shè)備資源來“挖掘”加密貨幣。挖礦威脅盡管相對較新，但它已經(jīng)成為最常見的網(wǎng)絡(luò)威脅之一，很有

加密貨幣劫持（俗稱惡意挖礦）是一種新興的在線威脅，它隱藏在服務(wù)器或PC等設(shè)備上，并利用設(shè)備資源來“挖掘”加密貨幣。挖礦威脅盡管相對較新，但它已經(jīng)成為最常見的網(wǎng)絡(luò)威脅之一，很有可能成為網(wǎng)絡(luò)世界下一個主要的安全威脅。

與網(wǎng)絡(luò)世界中大多數(shù)其它惡意攻擊一樣，挖礦最終動機也是因為有利可圖。在了解挖礦的機制以及如何保護自己免受挖礦的荼毒之前，需要先了解一些背景。

什么是加密貨幣

加密貨幣是一種數(shù)字貨幣的形式，僅存在于網(wǎng)絡(luò)世界中，沒有實際的物理形式。它們以分散的貨幣單位形式存在，可在網(wǎng)絡(luò)參與者之間自由轉(zhuǎn)移。

與傳統(tǒng)貨幣不同，加密貨幣不受特定政府或銀行的支持，沒有政府監(jiān)管或加密貨幣的中央監(jiān)管機構(gòu)。加密貨幣的分散性和匿名性意味著并沒有監(jiān)管機構(gòu)決定有多少貨幣將會流入市場。

大多數(shù)加密貨幣，正是通過“挖礦”方式開始進入流通。挖礦實質(zhì)上是將計算資源轉(zhuǎn)變?yōu)榧用茇泿拧Ｆ鸪?，任何擁有計算機的人都可以挖掘加密貨幣，但它很快就變成了軍備競賽。如今，大多數(shù)挖礦者使用功能強大的專用計算機來全天候地挖掘加密貨幣。不久，人們開始尋找挖掘加密貨幣的新方法，挖礦木馬應(yīng)運而生。黑客不用購買昂貴的采礦計算機，僅需要感染常規(guī)計算機，就可以竊取他人的資源來牟取自身利益。

什么是“挖礦”行為

“挖礦”是一種使用他人設(shè)備，并在他人不知曉、未允許的情況下，秘密地在受害者的設(shè)備上挖掘加密貨幣的行為。黑客使用“挖礦”手段從受害者的設(shè)備中竊取計算資源，以獲得復(fù)雜加密運算的能力。

以比特幣挖礦為例，每隔一個時間點，比特幣系統(tǒng)會在節(jié)點上生成一個隨機代碼，互聯(lián)網(wǎng)中的所有計算機都可以去尋找此代碼，誰找到此代碼，就會產(chǎn)生一個區(qū)塊。根據(jù)比特幣發(fā)行的獎勵機制，每促成一個區(qū)塊的生成，該節(jié)點便獲得相應(yīng)獎勵。這個尋找代碼獲得獎勵的過程就是挖礦。但是要計算出符合條件的隨機代碼，需要進行上萬億次的哈希運算，于是部分黑客就會通過入侵服務(wù)器等方式讓別人的計算機幫助自己挖礦。

挖礦攻擊的危害十分嚴重，這是因為挖礦利用了計算機的中央處理器（CPU）和圖形處理器（GPU），讓它們在極高的負載下運行。這就如同在開車爬坡時猛踩油門或者開啟空調(diào)，會降低計算機所有其他進程的運行速度，縮短系統(tǒng)的使用壽命，最終使計算機崩潰。當然，“挖礦者”有多種方法來“奴役”控制你的設(shè)備。

第一種方法：就像惡意軟件一樣，一旦點擊惡意鏈接，它會將加密代碼直接加載到您的計算機設(shè)備上。一旦計算機被感染，挖礦者就會開始挖掘加密貨幣，同時保持隱藏在后臺。因為它感染并駐留在計算機上，所以它是本地的一種持續(xù)的威脅。

第二種方法：被稱為基于Web的加密攻擊。與惡意廣告攻擊類似，比如通過將一段JavaScript代碼嵌入到網(wǎng)頁中。之后，它會在訪問該頁面的用戶計算機上執(zhí)行挖礦，該過程不需要請求權(quán)限并且在用戶離開初始Web站點后仍可長時間保持運行。那些用戶認為可見的瀏覽器窗口已關(guān)閉，但隱藏的瀏覽器窗口仍然打開。

如何發(fā)現(xiàn)、清除“挖礦”木馬

當出現(xiàn)下述這些情況的時候，說明你的設(shè)備很有可能是遭到惡意挖礦了。

1. CPU使用率居高不下；

2. 響應(yīng)速度異常緩慢；

3. 設(shè)備過熱，冷卻風(fēng)扇長期高速運轉(zhuǎn)；

這時，需要確定是設(shè)備本身（以服務(wù)器為主）感染了挖礦木馬，還是瀏覽器挖礦。

服務(wù)器挖礦知多少？

目前服務(wù)器挖礦使用最多的入侵方式為SSH弱口令、Redis未授權(quán)訪問，其他常見的入侵方式如下：

（1）未授權(quán)訪問或者弱口令。包括但不限于：Docker API未授權(quán)訪問，Hadoop Yarn 未授權(quán)訪問，NFS未授權(quán)訪問，Rsync弱口令，PostgreSQL弱口令，Tomcat弱口令，Telnet弱口令，Windows遠程桌面弱口令。

（2）新爆發(fā)的高危漏洞。每次爆出新的高危漏洞，尤其命令執(zhí)行類漏洞，那些長期致力于挖礦獲利的黑客或挖礦家族都會及時更新挖礦payload。因此，在新漏洞爆發(fā)后，黑客會緊跟一波大規(guī)模的全網(wǎng)掃描利用和挖礦行動。

例如2018年爆發(fā)的WebLogic反序列化漏洞，Struts命令執(zhí)行漏洞，甚至12月爆出的ThinkPHP5遠程命令執(zhí)行漏洞已經(jīng)被buleherowak挖礦家族作為攻擊荷載，進行挖礦。

一旦發(fā)現(xiàn)服務(wù)器存在挖礦跡象，又應(yīng)該如何操作呢？需要盡快確認挖礦進程、挖礦進程所屬用戶、查看用戶進程、清除挖礦木馬等。

01確定挖礦進程

可以使用top命令直接篩選出占用CPU過高的可疑進程，來確定挖礦進程。比如部分挖礦進程的名字由不規(guī)則數(shù)字和字母組成，可直接看出（如ddg的qW3xT.4或zigw等）。

當然，挖礦進程也有可能被修改為常見名稱來干擾運維人員。但是這種偽裝方法比較簡單（比如利用XHide修改進程名或直接修改可執(zhí)行文件名），所以排查過程中也要關(guān)注所有占用CPU較高的可疑進程。

如果看到了可疑進程，可以使用lsof -p pid 查看進程打開的文件，或查看/proc/pid/exe 指向的文件。

從上圖可以看到，python進程所指向的文件明顯為異常文件，此時就需要重點排查該文件。

此外，如果挖礦木馬有隱藏進程的功能，那么很難直接從top中確定可疑進程名。這時，可從以下幾方面進行排查：

1、是否替換了系統(tǒng)命令

使用 rpm -Va 查看系統(tǒng)命令是否被替換，如果系統(tǒng)命令已經(jīng)被替換，可直接從純凈系統(tǒng)拷貝ps，top等命令到受感染主機上使用。

可以看到，系統(tǒng)的ps、netstat、lsof 三個命令均被替換。

ps命令被替換后，會修改ps輸出的內(nèi)容，從而隱藏可疑進程。此時直接使用ps命令時，會導(dǎo)致查詢不準確。比如gates木馬會替換ps命令，直接使用ps -ef命令查看進程時，會隱藏一個位于/usr/bin/下的進程。如下所示，使用busybox可看到可疑進程，但是使用系統(tǒng)的ps命令就不會看到/usr/bin/bsd-port/recei進程。

2、是否修改了動態(tài)鏈接庫

如果找不到占用CPU較高的進程，可考慮排查是否修改了動態(tài)鏈接庫，使用cat /etc/ld.so.preload 或echo $LD_PRELOAD 命令查看是否有預(yù)加載的動態(tài)鏈接庫文件。

也可以使用ldd命令查看命令依賴庫中是否有可疑動態(tài)庫文件，如圖，在將libprocesshider.so文件加入ld.so.preload文件中后，ldd 命令可看到top命令預(yù)先加載了可疑動態(tài)庫。

確認已經(jīng)加載惡意動態(tài)鏈接庫后，直接移除惡意動態(tài)鏈接庫文件或清除ld.so.preload中對該庫文件的引用內(nèi)容即可。

3、以上情況都可以直接通過靜態(tài)編譯的busybox進行排查。

02 查看挖礦進程所屬用戶

一般挖礦進程為自動化攻擊腳本，所以很少有提權(quán)的過程，那么很大可能挖礦進程所屬用戶即為攻擊進入系統(tǒng)的用戶。后續(xù)的排查過程可根據(jù)此尋找攻擊者的入侵途徑。

兩種方式都可以看到，挖礦進程所屬用戶為 weblogic。

03 查看用戶進程

確定已失陷用戶后，可查詢該用戶所屬其他進程，判斷其他進程是否有已知漏洞（Weblogic反序列化、Struts2系列漏洞、Jenkins RCE）或弱口令（Redis未授權(quán)、Hadoop yarn未授權(quán)、SSH弱口令）等問題。

可以看到，weblogic用戶下除了兩個挖礦進程，還有一個weblogic應(yīng)用的進程，所以這時候就應(yīng)該判斷該weblogic應(yīng)用是否有已知的漏洞（比如WebLogic反序列化漏洞）。如果有的話，那么該挖礦進程很可能是利用了該漏洞進入主機。

04 確定原因

排查出挖礦木馬后對木馬類型進行分析，根據(jù)木馬的傳播特征和傳播方式，初步判斷本次入侵的原因。然后結(jié)合應(yīng)用日志以及漏洞利用殘留文件確定本次攻擊是否利用了該漏洞。

比如，利用redis未授權(quán)訪問漏洞后，一般會修改redis的dbfilename和dir的配置，并且使用redis寫文件時，會在文件中殘留redis和版本號標識，可以根據(jù)以上兩個信息排查是否利用了redis。

05 清除挖礦木馬

1、及時隔離主機

部分帶有蠕蟲功能的挖礦木馬在取得本機的控制權(quán)后，會以本機為跳板機，對同一局域網(wǎng)內(nèi)的其他主機進行已知漏洞的掃描和進一步利用，所以發(fā)現(xiàn)挖礦現(xiàn)象后，在不影響業(yè)務(wù)的前提下應(yīng)該及時隔離受感染主機，然后進行下一步分析。

2、阻斷與礦池通訊

iptables -A INPUT -s http://xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d http://xmr.crypto-pool.fr -j DROP

3、清除定時任務(wù)

大部分挖礦進程會在受感染主機中寫入定時任務(wù)完成程序的駐留，當安全人員只清除挖礦木馬時，定時任務(wù)會再次從服務(wù)器下載挖礦進程或直接執(zhí)行挖礦腳本，導(dǎo)致挖礦進程清除失敗。

使用crontab -l 或 vim /var/spool/cron/root 查看是否有可疑定時任務(wù)，有的話直接刪除，或停止crond進程。

還有

/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab 等文件夾或文件中的內(nèi)容也要關(guān)注。

4、清除啟動項

還有的挖礦進程為了實現(xiàn)長期駐留，會向系統(tǒng)中添加啟動項來確保系統(tǒng)重啟后挖礦進程還能重新啟動。所以在清除時還應(yīng)該關(guān)注啟動項中的內(nèi)容，如果有可疑的啟動項，也應(yīng)該進行排查，確認是挖礦進程后，對其進行清除。

排查過程中重點應(yīng)該關(guān)注：

/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目錄或文件下的內(nèi)容。

5、清除公鑰文件

在用戶家目錄的.ssh目錄下放置authoruzed_keys文件，從而免密登陸該機器也是一種常見的保持服務(wù)器控制權(quán)的手段。在排查過程中應(yīng)該查看該文件中是否有可疑公鑰信息，有的話直接刪除，避免攻擊者再次免密登陸該主機。

[UserDIR]/.ssh/authorized_keys

6、kill挖礦進程

對于單進程挖礦程序，直接結(jié)束挖礦進程即可。但是對于大多數(shù)的挖礦進程，如果挖礦進程有守護進程，應(yīng)先殺死守護進程再殺死挖礦進程，避免清除不徹底。

kill -9 pid 或 pkill ddg.3014

在實際的清除工作中，應(yīng)找到本機上運行的挖礦腳本，根據(jù)腳本的執(zhí)行流程確定木馬的駐留方式，并按照順序進行清除，避免清除不徹底。

瀏覽器挖礦不可不防

首先要做的是確定吞噬資源的過程。通常使用Windows Taskmanager或MacOs的Activity Monitor足以識別罪魁禍首。但是，該進程也可能與合法的Windows文件具有相同的名稱，如下圖所示。

如果該進程是瀏覽器時，更加難以找到罪魁禍首。

當然，可以粗暴地終止該進程，但精確找到究竟是瀏覽器中的哪一個站點占用了如此之多的CPU性能是一個更好的辦法。比如，Chrome有一個內(nèi)置工具，被稱為Chrome任務(wù)管理器，通過單擊主菜單中的“更多工具”并在其中選擇“任務(wù)管理器”來啟動它。

此任務(wù)管理器顯示各個瀏覽器選項卡和擴展項的CPU使用情況，因此如果您的某個擴展程序包含一個挖礦者，則它也會顯示在列表中。

青藤之道：如何預(yù)防、識別、處置十大挖礦木馬

值得關(guān)注的是，在挖礦病毒的全球分布中，中國以超過50%的占比排在首位，政府、醫(yī)療、石油和天然氣等網(wǎng)絡(luò)安全相對薄弱的企事業(yè)單位成為優(yōu)先的攻擊目標，這充分說明中國挖礦病毒威脅的嚴峻性。

不過不用擔心，青藤萬相·主機自適應(yīng)安全平臺是預(yù)防、識別、處置挖礦木馬最佳實踐平臺。

青藤產(chǎn)品的資產(chǎn)清點，能夠能讓你對主機資產(chǎn)一目了然；入侵檢測，則通過后門檢測等功能，實時發(fā)現(xiàn)挖礦等入侵行為。風(fēng)險發(fā)現(xiàn)，可以及時了解那些可能被用來進行挖礦的漏洞、弱密碼等風(fēng)險。安全日志，則可以全面復(fù)現(xiàn)黑客入侵行為，了解黑客是怎么進來的，拿走了什么，留下了什么？

寫在最后

2017年是挖礦木馬爆發(fā)的一年，而2018年是挖礦木馬從隱匿的角落走向大眾視野的一年，2019年可能是木馬瘋狂的一年。阻止挖礦木馬的興起是安全人員的重要責任，而防范挖礦木馬的入侵是每一位服務(wù)器管理員、PC用戶需要時刻注意的重點。防御挖礦木馬，任重而道遠！

一般情況下電腦沒有異常是發(fā)現(xiàn)不了木馬的，除非你經(jīng)常用殺毒軟件掃描才能發(fā)現(xiàn)！還有就是電腦異常非?？ǎW(wǎng)頁或文件夾打開多出亂碼！這就要警惕起來了！一般我用的是360殺毒軟件和木馬預(yù)防！會實時報警自動隔離木馬！但是最大的缺點就360殺毒軟件太占內(nèi)存。其他的殺毒軟件也用過，卡巴斯基很好用可是要收費！別的基本沒有用，殺不病毒和木馬！