很闹心,非常的闹心,样本分析

服务器详情

  • 操作系统:centos 7.5
  • 参数:8核32GB

病毒详情

病毒名称

sysrv-hello 挖矿病毒

中病毒原因

使用了 nexus-3.13.0-01 版本的内容,在该版本下,病毒会通过遍历目录的形式进行渗透,最终控制服务器。

病毒编号

CVE-2020-15012

病毒能力

木马、蠕虫、后门

病毒的骚操作

  1. 通过 nexus 漏洞,渗透到服务器
  2. 关闭服务器的防火墙
  3. 杀死系统CPU占用率大于50%的程序,为自己的挖矿程序腾空服务器
  4. 尝试关闭 aliyun 等安全卫士的杀毒软件
  5. 下载门罗币矿机程序挖矿
  6. 修改服务器的定时任务,将木马程序添加到定时任务中
  7. 下载 mysql 等服务的弱口令爆破工具
  8. 执行远程链接操作,尝试通过服务器对外链接其他服务器时,通过同样手法感染其他服务器,达到横向传播作用

中毒后的状态

8核服务器,有4个的运行都是100%,最后会造成服务器满负载运行,导致其他服务全部关闭
image.png

经历

2021-01-25

  • 发现服务器无法登录,部署的应用无法打开,mysql无法访问
  • 提交天翼云工单,经官方工程师排查,发现内存溢出导致服务器宕机了
  • 重启服务器后,恢复正常
  • 此时,还未发现问题,以为只是单纯的应用开启太多,导致宕机了
  • 于是对 rd、foodpanel 等应用,暂时不开启

2021-01-28

  • 服务器再一次宕机,于是又重启服务器,恢复正常
  • 此时还是没发现问题,还是认为只是服务器应用负载过大造成的

2021-02-03

  • 服务器又宕机了,任何服务无法使用,无法连接
  • 于是重启服务,使用 htop 查看,于是看到了上图,发现 CPU 使用率爆炸,不太对劲
  • 通过 htop 查看CPU使用率高的进程,发现名称为 network001 的进程的 CPU 使用率100%
  • 杀死该进程后,服务器正常了,于是以为真的正常了

2021-02-04

  • 服务器再一次宕机
  • 重启服务使用 htop 查看后,发现名称为 sysrv 的进程 CPU 使用率100%
  • 百度查询 sysrv,发现是挖矿病毒,且是由 network001 进化而来
  • kill 进程后,清空服务器定时任务(crontab)
  • 找到是 nexus 版本漏洞问题,下载最新版 3.29.2-02 版本,并重装
  • 系统恢复正常,并持续观察2小时后,暂无异样,待进一步观察