姜榮正　姜榮中

摘要：隨著云技術日益成熟，Linux云主機已成為部署互聯(lián)網(wǎng)應用服務首選，在互聯(lián)網(wǎng)市場占據(jù)了重要的地位。同時各種漏洞以及木馬的攻擊活動日益猖獗，Linux云主機成為了攻擊對象，任何安全漏洞問題，都會給企業(yè)帶來巨大的利益?zhèn)?。本文針對Linux云主機遭遇木馬漏洞攻擊的安全問題，以實際的項目案例為基礎，分析并追蹤了CoinMiner挖礦病毒運行的表象和總結(jié)出清理步驟，并結(jié)合項目實際經(jīng)驗提出一些有效的防范建議。

關鍵詞：云主機;CoinMiner;安全防范

1.引言

國家互聯(lián)網(wǎng)應急中心（CNCERT）監(jiān)測數(shù)據(jù)表明，雖然國內(nèi)主流云平臺使用的IP地址數(shù)量僅占我國境內(nèi)全部IP地址數(shù)量的7.7%，但云平臺已成為發(fā)生網(wǎng)絡攻擊的重災區(qū)，在各類型網(wǎng)絡安全事件數(shù)量中，云平臺上的DDoS攻擊次數(shù)、被植入后門的網(wǎng)站數(shù)量、被篡改網(wǎng)站數(shù)量均占比超過50%。從云平臺上發(fā)出的攻擊增多，是因為云服務使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性，且云網(wǎng)絡流量的復雜性有利于攻擊者隱藏真實身份，攻擊者更多的利用云平臺設備作為跳板機或控制端發(fā)起網(wǎng)絡攻擊。

國家互聯(lián)網(wǎng)應急中心（CNCERT）編寫的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》報告指出，勒索病毒、挖礦木馬在黑色產(chǎn)業(yè)刺激下持續(xù)活躍。2018年上半年釣魚網(wǎng)站攻擊次數(shù)刷新了歷史最高值，其中針對虛擬貨幣交易所賬戶認證信息的攻擊占總次數(shù)的18.5%;惡意挖礦軟件Coinminer的檢出次數(shù)高達41萬次。隨著2019年下半年加密貨幣價格持續(xù)走高，挖礦木馬更加活躍。

大部分的木馬病毒主要針對Windows的漏洞進行傳播和感染，Linux相比較而言是安全的。但是隨著信息技術的不斷演變，沒有絕對的安全，針對 Linux系統(tǒng)的攻擊手段越來越多，很多木馬病毒通過程序的形式發(fā)布在Linux服務器上，來竊取用戶和企業(yè)的數(shù)據(jù)信息，Linux服務器的安全風險越來越重要。如何應對外界的木馬病毒的攻擊來保證服務器的安全，已經(jīng)成為一項重要的研究性課題。

本文將以項目為例分析CoinMiner病毒的清理過程，并針對目前比較流行的挖礦病毒的植入攻擊提出一些具體的防護措施。

2.挖礦病毒的發(fā)現(xiàn)與清理

制造和投放挖礦木馬的動機很簡單，就是利益。挖礦木馬本身無害，所以很多殺毒引擎都不會標記挖礦行為是可疑行為。挖礦行為同時伴隨著憑證竊取的行為，從而可以實現(xiàn)更好的橫向擴展，擴大整個挖礦木馬的感染率。

“永恒之藍”下載器木馬、WannaMiner、BuleHero等挖礦團伙頻繁推出挖礦木馬變種，并利用各類安全漏洞、僵尸網(wǎng)絡、網(wǎng)盤等進行快速擴散傳播，WannaMine、Xmrig、CoinMiner等成為2019年最為流行的挖礦木馬家族，最為常見的三種挖礦木馬最為：XMRig、CoinHive和CoinMiner。其中，XMRig屬于在計算機上安裝后進行門羅幣挖礦的程序，CoinHive是將一段JavaScript代碼內(nèi)置在網(wǎng)站中，訪客訪問時進行門羅幣挖礦的行為，CoinMiner與XMRig類似。

常見的挖礦病毒都是將挖礦程序封裝，偽裝成系統(tǒng)程序，添加服務器開機自啟動來進行持久化的運行，利用系統(tǒng)資源來幫助黑客挖礦，對客戶沒有太大的安全危害，會造成服務器的性能變差，影響企業(yè)的正常服務。針對上文談及到本身的Linux系統(tǒng)的安全隱患問題，本文針對某企業(yè)遭遇挖礦病毒提出一種定位攻擊行為和服務器恢復的方法。

2.1 CoinMiner病毒的發(fā)現(xiàn)和清理

背景：某企業(yè)云平臺在日常巡檢的過程中，發(fā)現(xiàn)Linux服務器的apache web服務和nignix反向服務無響應。經(jīng)過運維人員和研發(fā)人員的排查，發(fā)現(xiàn)web服務和反向服務被終止。因此開始進行以下幾點服務器的排查：

（1） 確認異常進程。

使用ps和top命令查看是否有異常進程，發(fā)現(xiàn)異常進程tsm。

（2） 定位進程目錄

使用file /proc/64645/exe，發(fā)現(xiàn)tsm文件路徑在/tmp目錄下

（3） 清理定時任務

查詢用戶任務情況。

在kill病毒進程后，沒過多久發(fā)現(xiàn)進程又啟動了 。通過排查crontab任務，清理掉啟動任務，殺掉進程，然后備份病毒程序，刪除病毒程序，觀察12小時，服務正常，無異常進程啟動。

（4） 部署clamav查殺

通過部署免費殺毒軟件clamav，更新最新病毒文件，全盤查殺無除了備份文件提示為Multios.Coinminer.Miner-6781728-2 外，無其他文件受感染。

2.2 挖礦病毒的隔離分析

將備份病毒程序copy在蜜罐中，運行病毒程序，發(fā)現(xiàn)修改SSH授權，允許黑客遠程免密登錄，需要在受害機器上存儲黑客公匙。修補生產(chǎn)環(huán)境的root的ssh的授權。通過解壓dota3.tar.gz文件，病毒程序由a，b，c三部分組成：

a部分專門結(jié)束大部分競品，包括刪除文件，殺死進程，清掉服務。運行l(wèi)inux挖礦木馬。

b部分為下載后門入侵代碼和免密授權。其中run代碼生成一段加密的perl代碼，解密后可以看到是perl版的ircbot后門。

c部分為存放的是ssh弱口令爆破相關的工具。

2.3 挖礦病毒入侵入口推測

由于相關日志文件被破壞，無從得知入侵入口，通過病毒的運作機理，初步推斷是通過利用SSH弱密碼攻擊控制Linux服務器。修改生產(chǎn)環(huán)境root密碼，將root設置成不能遠程訪問，修復用戶和用戶組等數(shù)據(jù)。

3. 挖礦病毒的防范

挖礦病毒與其他病毒相比較而言，沒有太大的差別，挖礦病毒常見的攻擊方法具備持久性和攻擊性長期占用服務器大量的CPU或GPU的計算資源，對于云計算的企業(yè)而言，云主機的感染會拖垮整個云平臺成千上萬的性能，大量的占用資源會造成企業(yè)平臺的癱瘓， 業(yè)務的宕機，給企業(yè)和用戶造成很大的損失。在互聯(lián)網(wǎng)時代和信息時代不斷發(fā)展的領域，攻擊和防護是一對矛盾體，攻擊時刻都在進行著，那么如何提高安全防護能力呢？針對某企業(yè)云平臺遭遇挖礦病毒的植入和攻擊，需要進一步吸取教訓。一般攻擊主機要分為系統(tǒng)安全的攻擊和網(wǎng)絡安全的攻擊。常見的攻擊行為是服務器賬號口令被暴力破解，木馬病毒的植入，端口的入侵，拒絕服務攻擊，僵尸網(wǎng)絡的攻擊，網(wǎng)絡監(jiān)聽等。面對一系列的攻擊手段，從多個方面提出以下幾點相應的防護措施：

（1） 提高系統(tǒng)賬號的安全性，做好賬號管理工作。系統(tǒng)賬號需要設置復雜的口令，避免弱口令。普通賬號權限加以授權，需要限制在允許的范圍內(nèi)。

（2） 啟動防火墻和SELinux，監(jiān)控高危端口，關閉不必要的端口，減小入侵機率。

（3） 做好系統(tǒng)日志的備份策略，記錄系統(tǒng)每天運行情況，時刻監(jiān)測系統(tǒng)的更新情況。

（4） 關閉Linux不必要的服務，嚴格控制服務安全。

（5） 查看服務器的系統(tǒng)性能，檢查異常進程是否占用過多的資源。

（6） 針對挖礦病毒特點，加強監(jiān)控用戶主目錄和/tmp目錄下異常文件的產(chǎn)生。

（7） 加強宣傳安全防控策略，培訓相關技術人員，提高安全意識

（8） 制定一套完備的安全防控和應對體系，將生產(chǎn)和防護兩者相統(tǒng)一，加大安全力度。

（9） 建立安全漏洞和病毒掃描機制，定期進行服務器病毒掃描和代碼代碼，查殺疑似病毒的程序。

4 結(jié)論

針對Linux系統(tǒng)的存在的不確定漏洞以及攻擊手段的日益成熟，服務器的安全問題成為各大企業(yè)不可忽視的問題。本文結(jié)合了具體項目遭遇挖礦病毒的實際經(jīng)驗，分析病毒的病理，提出了針對挖礦病毒的防范意見。

參考文獻

[1] 胡冠宇，楊明.Linux 服務器安全問題的分析與研究[J].軟件工程，2014，17（08）：7-9.

[2]王佳.現(xiàn)代計算機網(wǎng)絡信息安全與防護研究[J].信息與電腦（理論版），2019，31（22）：190-192.

[3]王作成. 某企業(yè)私有云病毒查殺平臺建設與實現(xiàn)[D].吉林大學，2018.

[4]國家互聯(lián)網(wǎng)應急中心.2019年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述[EB/OL]（2020-04-20）[2020-05-14]. http：//www.cac.gov.cn/2020-04/20/c_1588932297982643.htm.