-
-
[原创]抗“疫”时期,谨防服务器被StartMiner趁机挖矿!
-
发表于: 2020-2-18 10:41
-
近日,深信服安全团队捕获到一款通过SSH传播的新型Linux挖矿木马,该木马通过在服务器上创建多个定时任务、多个路径释放功能模块的方式进行驻留,并存在SSH暴力破解模块,下载并运行开源挖矿程序。由于下载的木马母体名字为2start.jpg,深信服安全团队将其命名为StartMiner。
该木马通过多个途径驻留从C&C端下载运行母体的命令,非常易于进行病毒更新,不排除后期会进行变种或功能修改的可能性。深信服安全团队提醒广大用户,抗“疫”时期,需加强服务器安全防护,警惕攻击者趁机植入挖矿程序,占用资源。
感染现象
被感染服务器上能够查看到很多带有异常命令行的进程:
存在多个异常定时任务:
木马行为
.xo文件/2start.jpg
筛选出使用指定端口进行通讯的进程并将其结束:
在known_hosts中寻找历史IP,尝试发起SSH连接并执行下载病毒母体的命令:
下载和执行其他功能文件
备用下载:
go系列文件
将x86_64和i686下载为其他文件名:
ping矿池域名,根据结果指定参数:
获取进程参数,拼接命令,在当前目录下生成sh文件:
生成的sh文件的内容如下,功能为将挖矿程序拷贝为sh进行运行:
|
|
|---|---|
|
|
|
