[原创] 2025-9月Solar应急响应月赛WP！

9月月赛WP
特洛伊挖矿木马事件排查

背景：
你是一名初级安全工程师，运维团队报告，公司的一台核心开发服务器（Ubuntu 22.04 LTS）出现CPU使用率异常飙高告警及安全设备检出外联挖矿事件。现在，你需要登录该服务器，排查并处置这一安全事件，并最终找出问题的根源
账号：root
密码：P@ssw0rd

本环境取自于某次勒索事件处理完毕的后期安全运营排查过程中的案例
1.提交挖矿文件的绝对路径


通过描述和挖矿特征，先执行top命令来获取CPU占用情况，然后再根据情况查找对应文件

值得注意的是在执行top命令后竟然没有结果，一般情况下会有多种原因，常见于如下两种
1.top命令被篡改
2.top命令被劫持
通过执行alias命令得到top命令被"起别名"，最终输出空，在实战中这里也是一个注意点

执行unalias top删除top的别名
再次执行top后得到正常结果，且通过CPU使用率看到PID为312的进程存在高使用率的情况

执行lsof -p 312获取此进程的相关文件列表
根据结果看到挖矿文件在/tmp目录下

可以通过strings kworkerds看一下挖矿文件大概包含哪些东西

上图中疑似HTTP的登录请求，在后面有一串乱码，可以尝试使用IDA进一步逆向，会得知是异或加密

2.提交挖矿文件的外联IP与端口


挖矿除了高占用服务器资源外，还会对矿池进行外联行为，这里提出两个思路
1.使用tcpdump抓取网卡流量，但是缺点可能在纷繁的流量中很难定位到恶意IP
2.使用ss命令定位指定文件对外连接的情况，但是前提应该知道这个文件名
执行ss -tupan|grep "kworkerds"命令

在执行后没反应大概率是此脚本有"心跳机制"，不会持续外联，所以可以多次执行命令尝试抓取

最终定位到外连地址：104.21.6.99:10235

3.守护进程脚本的绝对路径


正常情况下定位到挖矿文件路径和进程后执行kill -9 pid和rm -rf file
但是当我执行了如上命令后，发现提示无权限删除以及清除相关进程后再次"重生"

这说明本机可能存在命令被感染的情况，这里推荐使用busybox工具清除挖矿程序和进程

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-288799.htm