VPS主机推荐近日,深信服安全团队捕获到一款通过SSH传播的新型Linux挖矿木马,该木马通过在服务器上创建多个定时任务、多个路径释放功能模块的方式进行驻留,并存在SSH暴力破解模块,下载并运行开源挖矿程序。由于下载的木马母体名字为2start.jpg,深信服安全团队将其命名为StartMiner。
该木马通过多个途径驻留从C&C端下载运行母体的命令,非常易于进行病毒更新,不排除后期会进行变种或功能修改的可能性。深信服安全团队提醒广大用户,抗“疫”时期,需加强服务器安全防护,警惕攻击者趁机植入挖矿程序,占用资源。
感染现象
被感染服务器上能够查看到很多带有异常命令行的进程:
存在多个异常定时任务:
木马行为
.xo文件/2start.jpg
创建定时任务
筛选出使用指定端口进行通讯的进程并将其结束:
在known_hosts中寻找历史IP,尝试发起SSH连接并执行下载病毒母体的命令:
下载和执行其他功能文件
备用下载:
go系列文件
将x86_64和i686下载为其他文件名:
ping矿池域名,根据结果指定参数:
获取进程参数,拼接命令,在当前目录下生成sh文件:
生成的sh文件的内容如下,功能为将挖矿程序拷贝为sh进行运行:
解决方案
病毒查杀
深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
病毒防御
1、及时给电脑打补丁,修复漏洞;
2、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
3、避免开启SSH免密登录;
4、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果;
5、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁;
6、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁;
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
《抗“疫”时期,谨防服务器被StartMiner趁机挖矿!》原文地址:http://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650241214&idx=1&sn=269a86eb9f65fc0c290c784127fa4b5c&chksm=f3e2c2cac4954bdc8bfe8b2e0c8f33286879fde10fe8902412a16ae4344910ad0452e70b75ef