【前言】通過(guò)排查挖礦病毒的一次“有趣”經(jīng)歷，本文不僅展示了各種 Shell 命令的用法和作用，也能加深讀者對(duì)Linux 進(jìn)程和文件系統(tǒng)的理解。

同時(shí)在本文中，還出現(xiàn)了各種不同的工具類網(wǎng)站，相信對(duì)于一些專業(yè)人士會(huì)很有幫助。

希望能對(duì)大家有所幫助。

CPU起飛了

最近有朋友在群里反饋，自己服務(wù)器的CPU一直處于高占用狀態(tài)，但用top、ps等命令卻一直找不到是哪個(gè)進(jìn)程在占用，懷疑中了挖礦病毒，急的團(tuán)團(tuán)轉(zhuǎn)。

根據(jù)經(jīng)驗(yàn)，我趕緊讓他看一下當(dāng)前服務(wù)器的網(wǎng)絡(luò)連接，看看有沒有可疑連接，果然發(fā)現(xiàn)了有點(diǎn)東西：

上Shodan查一下這IP地址：

反向查找，發(fā)現(xiàn)有諸多域名曾經(jīng)解析到這個(gè)IP地址：

這是一個(gè)位于德國(guó)的IP地址，開放了4444,5555,7777等數(shù)個(gè)特殊的服務(wù)端口：

其中這位朋友服務(wù)器上發(fā)現(xiàn)的連接到的是7777端口，鐘馗之眼顯示，這是一個(gè)HTTP服務(wù)的端口，直接訪問(wèn)返回的信息如下：

mining pool!，服務(wù)器正在挖礦實(shí)錘了！

但神奇的是，這個(gè)進(jìn)程像是隱身了一般，找不到存在的任何痕跡。

進(jìn)程如何隱藏

現(xiàn)在說(shuō)回到本文的正題：Linux操作系統(tǒng)上，進(jìn)程要隱藏起來(lái)，有哪些招數(shù)？

要回答這個(gè)問(wèn)題，先來(lái)知道ps、top等命令枚舉系統(tǒng)的進(jìn)程列表的原理。

Linux的設(shè)計(jì)哲學(xué)是：一切皆文件！

進(jìn)程也不例外， Linux系統(tǒng)中有一個(gè)特殊的目錄：/proc/，這個(gè)目錄下的內(nèi)容，不是硬盤上的文件系統(tǒng)，而是操作系統(tǒng)內(nèi)核暴露出的內(nèi)核中進(jìn)程、線程相關(guān)的數(shù)據(jù)接口，也就是procfs，里面記錄了系統(tǒng)上正在運(yùn)行的進(jìn)程和線程信息，來(lái)查看一下：

這些以數(shù)字命名的目錄，就是一個(gè)進(jìn)程的PID，里面記錄了該進(jìn)程的詳細(xì)信息。

而ps、top等命令的工作原理，實(shí)質(zhì)上就是遍歷這個(gè)目錄。

知道了原理，想實(shí)現(xiàn)隱藏就有以下幾個(gè)思路：

命令替換

直接替換系統(tǒng)中的ps、top命令工具?？梢詮腉itHub上下載它們的源碼，加入對(duì)應(yīng)的過(guò)濾邏輯，在遍歷進(jìn)程的時(shí)候，剔除挖礦進(jìn)程，實(shí)現(xiàn)隱藏的目的。

模塊注入

編寫一個(gè)動(dòng)態(tài)鏈接庫(kù)so文件，在so中，HOOK遍歷相關(guān)的函數(shù)（readdir/readdir64），遍歷的時(shí)候，過(guò)濾挖礦進(jìn)程。

通過(guò)修改LD_PRELOAD環(huán)境變量或/etc/ld.so.preload文件，配置動(dòng)態(tài)鏈接庫(kù)，實(shí)現(xiàn)將其注入到目標(biāo)進(jìn)程中。

內(nèi)核級(jí)隱藏

模塊注入的方式是在應(yīng)用層執(zhí)行函數(shù)HOOK，隱藏挖礦進(jìn)程，更進(jìn)一步，可以通過(guò)加載驅(qū)動(dòng)程序的方式在內(nèi)核空間HOOK相應(yīng)的系統(tǒng)調(diào)用來(lái)實(shí)現(xiàn)隱藏。不過(guò)這對(duì)攻擊者的技術(shù)要求也更高，遇到這樣的病毒清理起來(lái)挑戰(zhàn)也更大了。

揪出挖礦進(jìn)程

通過(guò)上面的進(jìn)程隱藏原理看得住來(lái)，都是想盡辦法隱藏/proc目錄下的內(nèi)容，類似于“障眼法”，所以包含ps、top、ls等等在內(nèi)的命令，都沒辦法看到挖礦進(jìn)程的存在。

但蒙上眼不代表不存在，有一個(gè)叫unhide的工具，就能用來(lái)查看隱藏進(jìn)程。

我讓這位朋友安裝這個(gè)工具來(lái)查找隱藏的進(jìn)程，但奇怪的是，一執(zhí)行yum install安裝，遠(yuǎn)程連接的SSH會(huì)話就立刻斷開。

于是退而求其次，選擇通過(guò)源碼安裝，又是一直各種報(bào)錯(cuò)···

因?yàn)槲覜]辦法親自操作這臺(tái)服務(wù)器，溝通起來(lái)比較麻煩，于是我決定研究下這個(gè)unhide工具的源碼，然后編一個(gè)python腳本發(fā)給他執(zhí)行。

源碼地址：https://github.com/YJesus/Unhide-NG/blob/master/unhide-linux.c

在查找隱藏進(jìn)程模塊，其大致使用了如下的方法：

挨個(gè)訪問(wèn)/proc/pid/目錄，其中，pid從1到到max_pid累加

如果目錄不存在，跳過(guò)

如果是unhide自己的進(jìn)程，跳過(guò)

如果在ps命令中能看到，跳過(guò)

剩下的，既不是自己，也不在ps命令輸出中，則判定為隱藏進(jìn)程

按照這個(gè)思路，我編寫了一個(gè)Python腳本發(fā)給這位朋友，執(zhí)行后果然發(fā)現(xiàn)了隱藏的進(jìn)程：

別著急，不是真的有這么多進(jìn)程，這里是把所有的線程ID列舉出來(lái)了。隨便挑選了一個(gè)看一下：

還記得前面通過(guò)netstat命令看到挖礦進(jìn)程建立了一個(gè)網(wǎng)絡(luò)連接嗎？Linux一切皆文件，在/proc/pid/fd目錄下有進(jìn)程打開的文件信息：

這里發(fā)現(xiàn)這個(gè)進(jìn)程打開了一個(gè)socket，后面的10212是inode id，再通過(guò)下面的命令看一下這個(gè)socket到底是什么：

cat /proc/net/tcp | grep 10212

輸出了四元組信息：

左邊是源IP地址：源端口，右邊是目的IP地址：目的端口

目的端口1E61就是7777?。?！

找到了，就是這貨！

再次查看cat /proc/pid/environ，定位到進(jìn)程的可執(zhí)行文件：

總算把這家伙找到了：

網(wǎng)上一搜這家伙，看來(lái)是慣犯了：

挖礦病毒分析

把這個(gè)挖礦木馬下載下來(lái)，反匯編引擎中查看，發(fā)現(xiàn)加殼了。

脫殼后，在IDA中現(xiàn)出了原形，不禁倒吸了一口涼氣，居然悄悄修改/root/.ssh/authorized_keys文件，添加了RSA密鑰登錄方式，留下這么一個(gè)后門，隨時(shí)都能遠(yuǎn)程登錄進(jìn)來(lái)。

除此之外，還發(fā)現(xiàn)了病毒嘗試連接的大量域名：

看到這里簡(jiǎn)直可怕！自己的服務(wù)器被病毒按在地上摩擦??！

清除建議

開啟SELinux

殺掉挖礦進(jìn)程

刪除病毒程序（注意rm命令是否被替換）

刪除病毒驅(qū)動(dòng)程序（注意rm命令是否被替換）

刪除病毒添加的登錄憑據(jù)

防火墻封禁IP、端口

責(zé)任編輯：xj

原文標(biāo)題：急死！CPU被挖礦了，卻找不到哪個(gè)進(jìn)程！

文章出處：【微信公眾號(hào)：Linux愛好者】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。