Odhalení xmrig na serveru

Odhalení xmrig na serveru
« kdy: 10. 08. 2022, 14:53:50 »
Ahoj,
mám problém se VPSkou. Z VPSFree dostávám od včerejška report, že se mi tam spouští xmrig a musel být killnut bo vyžere všechnu paměť. Na VPS běží standartní Alma Linux a klasický webhosting. Ale ať se snažím VPSku scanovat jak chci, tak tam nic podezřelého nemůžu najít.
Sken provádím i přes https://www.rfxn.com/projects/linux-malware-detect/,  ale prozatím bez úspěšně. Setkali jste se někdo s podobným malwarem jak ho najít? Protože nevím jestli je napadený systém, jako takový, nebo www stránky. ;(


czipis

  • ***
  • 225
    • Zobrazit profil
    • E-mail
Re: Odhalení xmrig na serveru
« Odpověď #1 kdy: 10. 08. 2022, 15:28:36 »
zjistit z top ktera binarka to dela a pak hledat odkud se spustila a jak se tam dostala

Re: Odhalení xmrig na serveru
« Odpověď #2 kdy: 10. 08. 2022, 15:41:24 »
Mám bohužel jenom toto info - http://www.toppropagation.cz/vir.png a na serveru pres ssh po infu o killnutí nic už není divného.

luvar

  • ***
  • 226
    • Zobrazit profil
    • E-mail
Re: Odhalení xmrig na serveru
« Odpověď #3 kdy: 10. 08. 2022, 22:13:39 »
Myslím, že práve na root.cz som čítal o spôsoboch maskovania, ktoré upravia glibc binárku tak, že bežné nástroje nevidia ani dotknutý proces trojana a ani jeho súbor. Proste, keď "ls" aplikácia cez glibc knižnicku spraví systémové volanie na jadro pre vylistovanie adresáru (kde sa nachádza samotný "vírus"), tak upravená verzia glibc vráti všetko podľa očakávania, avšak bez toho súboru, ktorý nemá byť vidno. Skúste použiť priamo syscall-y na kernel, alebo hľadať týmto smerom. Obdobné sa deje i pre zoznam procesov.

PS: Osobne by som asi skúsil "preinštalovať" daný systém.

RDa

  • *****
  • 2 467
    • Zobrazit profil
    • E-mail
Re: Odhalení xmrig na serveru
« Odpověď #4 kdy: 10. 08. 2022, 23:08:16 »
Pokud je to VPS, tak by mela existovat moznost snapshotu-zalohy, takze si udelejte takto vzorek, ktery muzete analyzovat offline. Hledat vira v napadenem systemu je tak nejak zbytecne.. jak psal predchozi diskuter.


Re: Odhalení xmrig na serveru
« Odpověď #5 kdy: 11. 08. 2022, 08:29:17 »
V záloze jsem v logu našel toto:
Kód: [Vybrat]
domazlicka_jizba_cz_access_log-20220703:41936:80.209.232.237 - - [30/Jun/2022:16:33:33 +0000] "\x16\x03\x01\x02" 400 226 "-" "-"
domazlicka_jizba_cz_access_log-20220703:41937:80.209.232.237 - - [30/Jun/2022:16:33:33 +0000] "{\"id\": 1, \"method\": \"mining.subscribe\", \"params\": [\"cpuminer/2.5.1\"]}\n" 400 226 "-" "-"
domazlicka_jizba_cz_access_log-20220703:41938:80.209.232.237 - - [30/Jun/2022:16:33:33 +0000] "{\"id\": 1, \"method\": \"mining.subscribe\", \"params\": [\"MinerName/1.0.0\", \"EthereumStratum/1.0.0\"]}\n" 400 226 "-" "-"
domazlicka_jizba_cz_access_log-20220703:41939:80.209.232.237 - - [30/Jun/2022:16:33:34 +0000] "{\"id\":1,\"method\":\"eth_submitLogin\",\"worker\":\"eth1.0\",\"params\":[\"0x524bda2dc07ee02623675cd8fafa7d069ca2469c\",\"x\"],\"jsonrpc\":\"2.0\"}\n" 400 226 "-" "-"
domazlicka_jizba_cz_access_log-20220703:41940:80.209.232.237 - - [30/Jun/2022:16:33:35 +0000] "{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"46Z9cak5CqY7qkmLY7MGugfqDTv2NZhuyFVsQEPyDPYBMjaJPrZuAwHAtp4Sj8y1P1KzVWbfg6CWJKWRYufEZeevLiZEVVt\",\"pass\":\"x\",\"agent\":\"XMRig/6.15.3 (Windows NT 10.0; Win64; x64) libuv/1.42.0 msvc/2019\",\"algo\":[\"cn/1\",\"cn/2\",\"cn/r\",\"cn/fast\",\"cn/half\",\"cn/xao\",\"cn/rto\",\"cn/rwz\",\"cn/zls\",\"cn/double\",\"cn/ccx\",\"cn-lite/1\",\"cn-heavy/0\",\"cn-heavy/tube\",\"cn-heavy/xhv\",\"cn-pico\",\"cn-pico/tlo\",\"cn/upx2\",\"rx/0\",\"rx/wow\",\"rx/arq\",\"rx/graft\",\"rx/sfx\",\"rx/keva\",\"argon2/chukwa\",\"argon2/chukwav2\",\"argon2/ninja\",\"astrobwt\"]}}\n" 400 226 "-" "-"
domazlicka_jizba_cz_access_log-20220703:41941:80.209.232.237 - - [30/Jun/2022:16:33:35 +0000] "GET / HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
domazlicka_jizba_cz_access_log-20220703:41942:80.209.232.237 - - [30/Jun/2022:16:34:34 +0000] "GET / HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
domazlicka_jizba_cz_access_log-20220703:41943:80.209.232.237 - - [30/Jun/2022:16:34:34 +0000] "POST / HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
domazlicka_jizba_cz_access_log-20220703:41944:80.209.232.237 - - [30/Jun/2022:16:34:35 +0000] "GET / HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
domazlicka_jizba_cz_access_log-20220703:41945:80.209.232.237 - - [30/Jun/2022:16:34:35 +0000] "POST / HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
domazlicka_jizba_cz_access_log-20220703:41946:80.209.232.237 - - [30/Jun/2022:16:36:03 +0000] "GET / HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
Prohledávám ten web, ale stejně na nic nemůžu přijít.

Re: Odhalení xmrig na serveru
« Odpověď #6 kdy: 11. 08. 2022, 08:41:14 »
Nehledal bych za tim slozitosti, xmrig na serveru nenajdes je jen v pameti. Ma stejne UID jako php-fpm. Dle me tam mas deravej wordpress nebo neco podobneho. Prez to mohou na serveru spustit prikaz a vetsinou se to dela tak ze se stahne binarka, spusti a smaze.

Takze pokud tam je vic webu tak kazdemu idelane vlastni php-fpm s vlastnim uzivatelem a pak velmi rychle poznas prez kterej web to tam leze. Nebo proste vsechny weby vypni a postupne zapinej.

Re: Odhalení xmrig na serveru
« Odpověď #7 kdy: 11. 08. 2022, 08:52:08 »
Díky za nasměrování. Tadu u tohoto konkrétního webu je aktuální CMS Joomla a nemůžu tam nikde najít hack, přes který by se to stahovalo. Projel jsme to i softem na rozpoznávání PHP hacků a taky mi to nic nenašlo. Přemýšlím jak ještě to odhalit :/

Re: Odhalení xmrig na serveru
« Odpověď #8 kdy: 11. 08. 2022, 11:09:20 »
Uz jsem zazil i leaknute heslo od cms, pripadne ftp, bugnutej plugin nebo jeste lepe plugin z backdoorem.

Zkusil bych obecne pro php-fpm zakat veskere exec funkce, vetsina cms to stejne nepotrebuje.
Napr do fpm poolu pridat
php_admin_value[disable_functions] = dl,exec,shell_exec,system,passthru,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,show_source,pcntl_exec

A pak pri trose stesti bude nekde v logu error ze neco vola zakaznou funkci, jednak se to nespusti a druhak to navede kudy to tam leze.