web-dev-qa-db-ja.com

〜/ .infoディレクトリのMoneroマイナー-ワームの署名?

開発マシンの1つで、mdプロセスが原因でCPU使用率が高くなっていることに気付きました。短い検査で~/.info/md crontabによって開始された、moneroマイナーであることが判明したプロセス。

残念ながら、私たちはそれをどうやってそこにたどり着くことができるかを調べずに、あまりにも熱心に削除しました。

「おもしろい」または何らかのパフォーマンスベンチマークの一部としてインストールすることもできますが、ワームやウイルスの場合は、検査の問題が大きくなります。

インストールディレクトリとプロセスの名前は、既知のワームやウイルスと一致しますか?正当なプロセス名でアクティビティを隠そうとしているように見えます(* nixでは、2文字の名前はすべて正当なもののために予約されている可能性があります)。

マシンはUbuntuを実行しています。

私は 'monero worm .info md'のグーグル検索を試みましたが、妥当な結果が得られないため、おそらくフレーズ全体を検索することはできません。

5
9ilsdx 9rvj 0lo

他の人が述べたように、鉱夫は単なるペイロードです。これがWebサーバーである場合は、ApacheまたはWebサーバーのアクセスログで、mdファイルの作成日と同じタイムスタンプを参照することをお勧めします。脆弱性を悪用したり、デフォルトのパスワードで管理ページにログインしたりする可能性があります。また、syslogがSSHログインを取得したかどうかを確認し、ほぼ同時に、または通常とは異なるソースIPからログインがあったかどうかを確認することもできます。

マイナーを削除しただけの場合は、他の問題が発生している可能性が高く、攻撃者がまだエントリポイントを持っているか、システムに複数のバックドアを配置しているため、マイナーまたは他のマルウェアが戻ってくる可能性があります。

また、netstat -anopを実行して、攻撃者がシステムにリバースシェルまたは別のマイナーを持っている可能性があるので、奇妙なネットワーク接続を発信する可能性があります。

また、それがWebサーバーである場合は、システム上のすべてのWebフォルダー内のすべてのファイルを確認し、Webシェル(コマンドをリモートで実行するために攻撃者がドロップした奇数のWebページ)を確認することもできます。

攻撃者は、ペイロードを削除してもすぐに消えてしまうわけではないので、攻撃者が戻ってくるか、すでにそこにいる可能性があるか注意してください。