首页
论坛
课程
招聘
[原创]抗“疫”时期,谨防服务器被StartMiner趁机挖矿!
2020-2-18 10:41 4331

[原创]抗“疫”时期,谨防服务器被StartMiner趁机挖矿!

2020-2-18 10:41
4331

近日,深信服安全团队捕获到一款通过SSH传播的新型Linux挖矿木马,该木马通过在服务器上创建多个定时任务、多个路径释放功能模块的方式进行驻留,并存在SSH暴力破解模块,下载并运行开源挖矿程序。由于下载的木马母体名字为2start.jpg,深信服安全团队将其命名为StartMiner。

该木马通过多个途径驻留从C&C端下载运行母体的命令,非常易于进行病毒更新,不排除后期会进行变种或功能修改的可能性。深信服安全团队提醒广大用户,抗“疫”时期,需加强服务器安全防护,警惕攻击者趁机植入挖矿程序,占用资源。

感染现象


被感染服务器上能够查看到很多带有异常命令行的进程:

 


存在多个异常定时任务:

 

木马行为


.xo文件/2start.jpg




筛选出使用指定端口进行通讯的进程并将其结束:

 


在known_hosts中寻找历史IP,尝试发起SSH连接并执行下载病毒母体的命令:

 


下载和执行其他功能文件



备用下载:



go系列文件


将x86_64和i686下载为其他文件名:



ping矿池域名,根据结果指定参数:



获取进程参数,拼接命令,在当前目录下生成sh文件:

 


生成的sh文件的内容如下,功能为将挖矿程序拷贝为sh进行运行:



第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞0
打赏
分享
最新回复 (1)
雪    币: 2497
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xghoecki 活跃值 2020-2-18 11:36
2
0
感谢分享
游客
登录 | 注册 方可回帖
返回