[Linux] 與被植入的挖礦程式惡戰

最近學校的一台主機經常飆高 CPU,一開始追查發現原來是被塞入了一隻惡意程式,用途是在挖礦的。在資訊工程師生涯近十年來,首次看到被塞入的程式居然不太惡意,純粹只是會佔用主機資源而已,著實令人驚奇!

簡單記錄一下幾個比較關鍵的點,提供搜尋到這篇文章的人參考。

  1. 如果被入侵的話,在 /tmp 資料夾下會發現 aiox86 與 .XO-lock .X1-lock 與 .XO-lock 與 .jnks/chron-34e2fg 等檔案、程式
  2. 這隻程式會透過 53 port 到特定 IP 取回一隻叫 a.sh 的程式並執行它
  3. 這隻程式似乎有竄改 apache  程式(不是很肯定,只是從 /var/log/apache2/error.log 看到 apache 執行會直接出現錯誤),建議還是移除並重裝最新版的 apache
  4. 這隻程式會以 www-data 身分改寫 crontab,設定每 15 秒就會到網路上抓 a.sh 並執行
  5. 程式開發者設定,只要存在「/usr/share/man/11.gz」這個檔案就不會執行該程式 XD

Categories: 

Comments

Add new comment

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.