矿业周 | 关于挖矿你需要知道的一切

插个小动画：被挖矿撞到怎么办？

关于挖矿你需要知道的一切

Cryptojacking（通常称为恶意挖掘）是一种新兴的在线威胁，它隐藏在服务器或 PC 等设备上，并使用设备的资源来“挖掘”加密货币。 尽管相对较新，但挖矿威胁已成为最常见的网络威胁之一，很可能成为网络世界的下一个主要安全威胁。

与网络世界中的大多数其他恶意攻击一样，挖矿最终是以利润为动机的。 在了解挖矿的工作原理以及如何保护自己免受挖矿影响之前，需要了解一些背景知识。

什么是加密货币

加密货币是一种仅存在于网络世界中的数字货币形式，没有实际的物理形式。 它们作为分散的货币单位存在，可以在网络参与者之间自由转移。

与传统货币不同，加密货币不受特定政府或银行的支持，也没有政府监管或加密货币的中央监管机构。 加密货币的去中心化和匿名性意味着没有监管机构决定有多少资金流入市场。

大多数加密货币通过“挖矿”进入流通。 挖矿本质上是将计算资源转化为加密货币。 起初，任何拥有计算机的人都可以挖掘加密货币，但它很快变成了一场军备竞赛。 如今，大多数矿工都使用功能强大的专用计算机全天候 24 小时挖掘加密货币。 不久，人们开始寻找新的加密货币挖矿方法，挖矿木马应运而生。 黑客无需购买昂贵的挖矿计算机，只需感染普通计算机即可窃取他人的资源，为自己谋取利益。

什么是“挖矿”行为

“挖矿”是指在他人不知情或未经许可的情况下，使用他人设备，在受害人设备上秘密挖取加密货币的行为。 黑客使用“挖矿”从受害者的设备中窃取计算资源，以获得执行复杂加密操作的能力。

以比特币挖矿为例，每一个时间点，比特币系统都会在节点上生成一个随机代码，互联网上所有的计算机都可以搜索到这个代码，谁找到这个代码就生成一个区块。 根据比特币发布的奖励机制，每产生一个区块，节点都会得到相应的奖励。 这个寻找代码获得奖励的过程就是挖矿。 但是，要计算出合格的随机码，需要进行数万亿次的哈希运算，所以一些黑客会通过入侵服务器等方式，让别人的电脑帮自己挖矿。

挖矿攻击非常严重，因为挖矿使用计算机的中央处理器 (CPU) 和图形处理器 (GPU)，使它们承受极高的负载。 这就像开车上山时猛踩油门或开空调。 它会减慢计算机中的所有其他进程，缩短系统的使用寿命，并最终导致计算机崩溃。 当然，“矿工”有多种方式来“奴役”你的设备的控制权。

第一种方法：就像恶意软件一样，点击恶意链接后，它会将加密代码直接加载到您的计算机设备上。 一旦计算机被感染，矿工就会开始挖掘加密货币，同时隐藏在后台。 它是一种本地的、持久的威胁，因为它会感染并驻留在计算机上。

第二种方法：称为基于 Web 的加密攻击。 类似于恶意广告攻击比特币挖矿需要什么条件，例如将一段 JavaScript 代码嵌入到网页中。 然后它在访问该页面的用户的计算机上执行挖掘，该过程不请求权限并且可以在用户离开初始网站后很长时间内继续运行。 那些用户认为可见的浏览器窗口已关闭，但隐藏的浏览器窗口仍然打开。

如何发现并清除“挖矿”木马

当出现以下情况时，表示您的设备很可能被恶意挖矿。

1、CPU占用居高不下；

2、响应速度极慢；

3、设备过热，散热风扇长时间高速运转；

这时需要判断设备本身（主要是服务器）是否感染了挖矿木马或浏览器挖矿。

服务器挖矿你了解多少？

目前，服务器挖矿最常用的入侵方式是SSH弱密码和Redis未授权访问。 其他常见的入侵方式如下：

(1) 未授权访问或弱口令。 包括但不限于：Docker API越权访问、Hadoop Yarn越权访问、NFS越权访问、Rsync弱密码、PostgreSQL弱密码、Tomcat弱密码、Telnet弱密码、Windows远程桌面弱密码。

（二）新爆发的高危漏洞。 每当有新的高危漏洞发布，尤其是命令执行漏洞，那些长期致力于挖矿牟利的黑客或矿工家族都会及时更新挖矿载荷。 因此，在新的漏洞爆发后，黑客会跟进一波大规模的全网扫描、利用和挖矿操作。

例如2018年爆发的WebLogic反序列化漏洞、Struts命令执行漏洞，甚至12月爆发的ThinkPHP5远程命令执行漏洞，都曾被buleherowak挖矿家族作为攻击载荷进行挖矿。

一旦发现服务器有挖矿迹象，怎么办？ 需要确认挖矿进程、挖矿进程所属用户，排查用户进程，尽快清除挖矿木马。

01

确定采矿过程

可以使用top命令直接过滤掉占用CPU过多的可疑进程来判断挖矿进程。 比如一些挖矿进程的名字是由不规则的数字和字母组成的，可以直接看出来（比如ddg的qW3xT.4或者zigw等）。

当然，挖矿过程也可能会被修改成一个通用的名字来干扰运维人员。 但是这种伪装方法比较简单（比如使用XHide修改进程名或者直接修改可执行文件名），所以在排查过程中，还要注意所有占用高CPU的可疑进程。

如果看到可疑进程，可以使用 lsof -p pid 查看进程打开了哪些文件，或者 /proc/pid/exe 指向什么。

ISOF

过程

从上图可以看出，python进程指向的文件很明显是异常文件，所以需要重点检查这个文件。

另外，如果挖矿木马具有隐藏进程的功能，则很难直接从top判断可疑进程的名称。 这时候可以从以下几个方面进行检查：

1、系统命令是否被替换

使用rpm -Va查看系统命令是否被替换。 如果系统命令已经被替换，可以直接将ps、top等命令从干净的系统复制到被感染的主机上使用。

可以看到系统的三个命令ps、netstat、lsof都被替换了。

ps 命令被替换后，ps 输出的内容将被修改以隐藏可疑进程。 这时候如果直接使用ps命令，查询就会不准确。 例如，gates 特洛伊木马将取代 ps 命令。 直接使用ps -ef命令查看进程时，会隐藏一个位于/usr/bin/下的进程。 如下图，使用busybox可以看到可疑进程，但是使用系统的ps命令是看不到/usr/bin/bsd-port/recei进程的。

2.动态链接库是否被修改

如果找不到占用高CPU的进程，可以考虑查看动态链接库是否被修改，使用cat /etc/ld.so.preload或者echo $LD_PRELOAD命令查看是否有预加载的动态链接库文件。

也可以使用ldd命令查看命令依赖库中是否存在可疑的动态库文件。 如图所示，在ld.so.preload文件中添加libprocesshider.so文件后，ldd命令可以看到top命令已经预加载了可疑动态库。

确认恶意动态链接库已加载后，直接移除恶意动态链接库文件或清除ld.so.preload中库文件的引用内容。

3、以上情况可以直接通过静态编译的busybox查看。

查看挖矿进程所属用户

02

一般挖矿进程是一个自动化的攻击脚本，所以很少有提权的过程，所以属于挖矿进程的用户很可能就是攻击系统的用户。 后续的排查过程可以据此找到攻击者的入侵路径。

最佳

ps-ef | grep pid

两种方式都可以看出挖矿进程的用户是weblogic。

03

查看用户进程

确定被攻陷用户后，可以查询该用户所属的其他进程，判断其他进程是否存在已知漏洞（Weblogic反序列化、Struts2系列漏洞、Jenkins RCE）或弱密码（Redis未授权、Hadoop yarn未授权、SSH弱密码）等等

ps -ef|grep 用户名

可以看出，除了weblogic用户下的两个挖矿进程外，还有一个weblogic应用进程，所以此时要判断weblogic应用是否存在已知漏洞（如WebLogic反序列化漏洞）。 如果有，那么挖矿进程很可能就是利用这个漏洞进入主机。

确定原因

04

找出挖矿木马后，分析木马类型，根据木马的传播特点和传播方式初步判断入侵原因。 然后结合应用程序日志和漏洞利用残留文件判断漏洞是否在本次攻击中被利用。

例如，利用redis未授权访问漏洞后，一般会修改redis的dbfilename和dir的配置，使用redis写文件时，文件中会保留redis和版本号标识。 可以根据以上两个信息查看是否使用了redis。

05

清除挖矿木马

1、及时隔离宿主

一些具有蠕虫功能的挖矿木马，在获得本机控制权后，会以本机为跳板，扫描并进一步利用同一局域网内其他主机上的已知漏洞。 因此，在发现挖矿现象后，应在不影响业务的前提下，及时隔离被感染主机，再进行下一步分析。

2. 屏蔽与矿池的通信

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

3.清除定时任务

大部分挖矿过程都会在被感染主机中写入定时任务完成程序的驻留。 当安全人员仅清除挖矿木马时，定时任务会重新从服务器下载挖矿进程或直接执行挖矿脚本，导致挖矿进程清理失败。

使用crontab -l 或者vim /var/spool/cron/root 查看是否有可疑的定时任务，如果有则直接删除，或者停止crond进程。

并且

/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab等文件夹或文件的内容也应该专注于。

4.清除启动项

为了实现长驻，部分挖矿进程会在系统中添加启动项，以保证系统重启后挖矿进程能够重启。 所以在清除的时候也要注意启动项的内容。 如果有可疑的启动项，也要检查一下，确认是挖矿进程后清除。

在调查过程中，重点应放在：

/etc/rc0.d/, /etc/rc1.d/, /etc/rc2.d/, /etc/rc3.d/, /etc/rc4.d/, /etc/rc5.d/, /etc /rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目录或文件下的内容。

5.清除公钥文件

将authoruzed_keys文件放在用户家目录的.ssh目录下，实现无密登录本机，也是维护服务器控制的常用手段。 在调查过程中，应检查该文件中是否存在可疑的公钥信息，如有则将其删除，以防止攻击者再次无密码登录主机。

[UserDIR]/.ssh/authorized_keys

6.杀掉挖矿进程

对于单进程挖矿程序，直接结束挖矿进程即可。 但对于大多数挖矿进程，如果挖矿进程有守护进程，则应先杀掉守护进程，再杀掉挖矿进程，以免清理不彻底。

kill -9 pid 或 pkill ddg.3014

在实际清理工作中，应找到机器上运行的挖矿脚本，根据脚本的执行过程判断木马的驻留方式，进行清理，以免清理不彻底。

必须防止浏览器挖矿

要做的第一件事是确定正在吞噬资源的进程。 通常使用 Windows Taskmanager 或 MacOs 的 Activity Monitor 就足以识别罪魁祸首。 但是，该进程也可能与合法的 Windows 文件同名，如下图所示。

当进程是浏览器时，找到罪魁祸首就更加困难了。

当然，该进程可能会被残酷地终止，但最好准确查明浏览器中的哪个站点占用了如此多的 CPU 性能。 例如，Chrome 有一个名为 Chrome 任务管理器的内置工具，通过单击主菜单中的“更多工具”并在此处选择“任务管理器”来启动该工具。

此任务管理器显示各种浏览器选项卡和扩展程序的 CPU 使用率，因此如果您的其中一个扩展程序包含矿工，它也会显示在列表中。

常春藤之道：十大挖矿木马如何防范、识别和处置

值得注意的是，在挖矿病毒的全球分布中，中国以超过50%的比例位居首位，政府、医疗、油气等网络安全相对薄弱的企事业单位成为优先攻击目标，充分说明了中国挖矿病毒威胁的严重性。

不过不用担心，青藤万象主机自适应安全平台是防范、识别、处置挖矿木马的最佳实践平台。

青藤产品资产盘点，让您对主机资产一目了然； 入侵检测利用后门检测等功能实时发现挖矿等入侵行为。 风险发现可以及时了解漏洞、弱密码等可能被挖矿的风险。 安全日志可以完整重现黑客行为比特币挖矿需要什么条件，了解黑客是怎么进来的，带走了什么，留下了什么？

写在最后

2017年是挖矿木马爆发的一年，2018年是挖矿木马从隐蔽角落走向大众视野的一年，2019年可能是木马疯狂的一年。 防止挖矿木马的兴起是安全人员的重要职责，防止挖矿木马的入侵是每一位服务器管理员和PC用户关注的重点。 防挖矿木马任重而道远！

-结束-

更多精彩内容：

关于青藤云安全

青藤云安全以服务器安全为核心，采用自适应安全架构，集预测、防御、监控和响应能力于一体，构建基于主机的安全态势感知平台，为用户提供持续的安全监控、分析和快速响应能力帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化业务环境中实施安全的统一策略管理，有效预测风险，准确感知威胁，提升响应效率，全面保护企业数字资产安全和业务的高效发展。

青腾客户

他们都在用常春藤

政府机关

国家信访局| 国家信息中心| 北京市公安局| 中国煤炭地质总局| 国家电网 | 华中电网有限公司|

金融业

中国平安| 招商银行| 中国光大银行| 吉林银行 | 宁波银行 | 安信基金| 阳光保险集团|

网上银行

陆金所 | 借贷宝 | 91 财务 | 51 信用卡 |

互联网

哔哩哔哩 | 科大讯飞 | 51 谈话 | 团车| 人人行科技 | 斗鱼 |

大型企业

九阳| 吉利控股集团| 中通快递 | 上汽集团 | 百胜中国 | TCL| 中国移动| 中国联通 | 中国电信