问题描述
收到阿里云短信提醒,两台所在不同区域的服务器均受到挖矿病毒感染。
image
问题分析
进入阿里云安全中心,查看安全问题详情,显示挖矿程序和访问恶意下载源。
挖矿程序
访问恶意下载源
可以看到病毒通过脚本从github上下载了一个叫做
XMRig 的程序,经了解这个程序是用来挖矿的。
image
XMRig
同时定位到有问题的文件
/home/trace,通过这条线索,发现网上也有类似中招的用户(https://cloud.tencent.com/developer/news/304639)。该病毒文件伪装成常见的系统文件名,实则为病毒。通过virscan云查杀,证实该文件确实为病毒。
image
image
image
image
处理进展
期间,使用阿里云安全中心查杀过这个病毒,但是其处理方式是结束进程,查杀后相关进程确实会结束,但是一段时间后,该程序又会重新启动。根据这篇引用的文章描述,尝试将trace这个文件的执行权限剥夺,然后杀掉这个进程,目前该程序还没有再次启动。
目前尚不清楚病毒感染的原因,可能是端口开放限制太少,也可能是早先在GitHub上泄露了AccessKey所致。
原文地址:http://www.trojx.me/2019/12/18/ecs-miner-virus/
