挖矿病毒持续活跃,通过 ssh “强行” 登录
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
火绒安全实验室发现挖矿病毒xbash,通过SSH口令爆破获得初始访问权,采用预加载劫持、杀软对抗、流量代理等技术手段运行、隐藏和传播。火绒安全产品已支持拦截和查杀该病毒,用户需及时更新病毒库提高防御能力。
🎯
关键要点
-
火绒安全实验室发现挖矿病毒xbash,主要通过SSH口令爆破获得初始访问权。
-
xbash是Coinminer家族的恶意脚本,去年开始大规模传播,近期频繁更新。
-
该病毒通过预加载劫持、杀软对抗、流量代理等技术手段运行、隐藏和传播。
-
火绒安全产品已支持拦截和查杀该病毒,用户需及时更新病毒库以提高防御能力。
-
xbash脚本使用Makeself打包工具,包含主要执行脚本cronman。
-
cronman脚本的行为包括下载payload、持久化、清除痕迹、清除杀软、内网代理等。
-
该病毒通过修改SSH配置文件和防火墙配置实现持久化和内网横向移动。
-
病毒会隐藏相关进程和恶意文件,清理系统日志和历史记录以消除痕迹。
-
被隐藏的程序libgcc_a是XMrig挖矿程序的变种,用于挖矿牟利。
➡️
