免费热线:400-655-8606
当前位置:首页 >最新动态

警惕!“8220”挖矿木马将服务器变“矿机”

发布者:ITGO-IT购 时间:2020-06-18

PC-ITGO-0-3.jpg

ITGO专业提供天融信产品和维保服务,即刻致电400-655-8606


天融信等保11.jpg

病毒概述

近日,天融信EDR安全团队捕获到“8220”挖矿木马样本。“8220”团伙利用漏洞、弱口令等方式攻击Windows、Linux系统,通过攻击脚本在失陷机器上安装Tsunami僵尸网络木马以便实施DDoS攻击,植入dbuseted挖矿木马进行门罗币挖矿,将服务器变“矿机”。

天融信EDR可精确检测并查杀该挖矿木马,有效阻止事件蔓延。

病毒分析

攻击者入侵服务器后从http://107.189.11.170/2start.jpg下载伪装成JPG格式图片的2start.jpg脚本。

天融信_20200618.png

2start.jpg脚本执行netstat命令,查找当前服务器上端口为3333、4444、5555、7777、14444等的连接,结束对应PID的进程,清理其他挖矿木马,以便独占资源。

天融信_20200618-2.png

将命令拼接进payload变量,下载2start.jpg脚本,调用python从107.189.11.170黑客服务器上读取d.py脚本的内容并执行。

天融信_20200618-3.png

d.py脚本运行后,判断操作系统位数,从服务器下载对应挖矿木马和go脚本到/var/tmp目录并修改其权限为777。

天融信_20200618-4.png

d.py脚本从服务器读取b.py内容并执行。

天融信_20200618-5.png

b.py脚本下载Tsunami僵尸网络木马到/var/tmp目录下并修改其权限为777。

天融信_20200618-6.png

2start.jpg脚本以root权限将下载命令分别写入到/etc/cron.d/root、/etc/cron.d/apache、/etc/cron.d/nginx、/var/spool/cron/root等程序的计划任务中。

天融信_20200618-7.png

go脚本启动2个挖矿进程dbusted,并传递参数-c和-pwn,执行挖矿。

天融信_20200618-8.png

防护建议

针对“8220”挖矿木马,可通过以下三种方式进行防御或查杀:

1、下载安装天融信EDR防御软件并进行全盘扫描查杀,即可清除该木马。

天融信_20200618-9.png

2、 更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码。

3、及时修复系统及应用漏洞。

天融信EDR获取方式

天融信EDR企业版试用:可通过天融信各地分公司获取

(查询网址:http://www.topsec.com.cn/contact/)

天融信EDR单机版下载地址:

http://edr.topsec.com.cn

天融信_20200618-10.png

                                     如需购买欢迎致电:400-655-8606   13366111839 (24h Sales)                                     

北方翱翔信息工程技术(北京)有限公司(简称:北方翱翔www.northsoar.com成立于2011年,是一家专注云计算、智网络、智安全领域的解决方案服务、产品销售服务和专业技术服务的一站式云IT服务企业。集合 天融信代理  天融信等保一体机代理  思科金牌代理 思科交换机总代理 华为代理。北方翱翔经营理念: 在追求全体员工物质和精神这两方面幸福的同时,为客户提供优质的服务,实现客户价值提升;提高企业价值,为社会的进步和发展做出贡献。

ITwww.360itgo.com是北方翱翔旗下一站式IT产品和服务B2B电商平台,商城产品包括云计算、云存储、云服务、云应用、网络设备、服务器、存储、虚拟化、安全产品、IT服务等,提供从咨询、采购、实施、运维到升级的全生命周期的一站式服务,IT购自建智能化仓储,现有自营库存超10000SKU,品类齐全、运转高效,确保能够完成当天99%的订单发货,凭借成熟的行业经验、独特的高增值专业服务和精细化的互联网电商运营模式,力求打造企业级IT服务的新标杆,给客户带来方便快捷,安全可靠的购买体验.

相关推荐

ITGO一站式企业IT产品和服务B2B平台

推荐产品