挖矿脚本分析与防御教学文档

一、恶意脚本概述

本文分析的是一个名为cr.sh的恶意挖矿脚本及其关联的zz.sh脚本，疑似与国内知名的8220挖矿团伙有关。

二、脚本功能分析

1. cr.sh脚本功能

系统信息收集：
- 执行ps ax、netstat、crontab、ps、top命令
- 将收集的信息保存为tmp2.txt
- 上传到黑客服务器http://46.249.38.186/rep.php
命令伪装：
- 将curl与wget命令替换为LDR
进程检查：
- 检查系统中是否运行tmp/java和w.conf（挖矿配置文件）
下载执行：
- 从互联网下载zz.sh并执行

2. zz.sh脚本功能

第一步：清除竞争挖矿进程

使用pkill -f终止常见挖矿进程
- -f参数匹配完整进程参数字符串（从/proc/nnnnn/psinfo获取）
- 主要依据挖矿路径和进程名
根据挖矿配置文件终止更多进程
通过矿池地址终止关联进程
- 示例矿池地址：stratum+tcp://163.172.205.136:3333

第二步：删除挖矿相关文件

主要清理目录：
- /var/tmp/下的文件
- /tmp/目录下的文件

第三步：文件完整性检查

检查/tmp/java的MD5值是否匹配：
- b00f4bbd82d2f5ec7c8152625684f853
- 71849cde30470851d1b2342ba5a5136b
不匹配则执行rm -rf删除
检查w.conf文件
目录不存在则用mkdir创建

第四步：下载恶意文件

定义download函数从远程服务器下载：
- 文件：pscf3和java
- 下载源：https://bitbucket.org/zrundr42/mygit/raw/master/x_64
MD5校验：
- 期望MD5：71849cde30470851d1b2342ba5a5136b
- 实际为XMRig 2.8.1 Linux版（2018年11月18日编译）

第五步：启动挖矿并持久化

下载挖矿配置文件并启动挖矿
完成后删除配置文件
写入定时任务确保持续运行：
- 定时任务URL：http://46.249.38.186/cr.sh

三、挖矿配置分析

矿池地址：
- stratum+tcp://163.172.205.136:3333
钱包地址：
- 46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S
- 与国内8220挖矿团伙钱包地址一致
- 已挖37个门罗币（约1.1万人民币）

四、与8220挖矿团伙的关联

相似点：
- 使用相同的钱包地址
- 使用XMRig挖矿软件
- 类似的清除竞争挖矿进程的行为
差异点：
- XMRig版本更新为2.8.1
- 下载路径改为https://bitbucket.org
- 未发现Windows模块
- 部分功能有变化

五、防御措施

1. 预防措施

及时修补漏洞：
- 修复Web应用程序的命令执行漏洞
- 保持系统和软件更新
权限控制：
- 限制服务器上的命令执行权限
- 使用最小权限原则
监控措施：
- 监控异常进程（如/tmp/java）
- 监控异常网络连接（如3333端口）

2. 检测方法

文件监控：
- 监控/tmp/和/var/tmp/目录的异常文件
- 检查cr.sh、zz.sh等可疑脚本
进程监控：
- 检查异常进程名（如java在非标准位置）
- 监控CPU使用率异常的进程
网络监控：
- 监控到46.249.38.186的连接
- 监控到矿池地址（如163.172.205.136:3333）的连接

3. 清除方法

终止恶意进程：

pkill -f '/tmp/java'
pkill -f 'stratum+tcp://'

删除恶意文件：
```
rm -rf /tmp/java /var/tmp/w.conf
```

清理定时任务：

crontab -l | grep -v '46.249.38.186' | crontab -

检查并删除下载的脚本：
```
rm -f /tmp/cr.sh /tmp/zz.sh
```

六、总结

该挖矿脚本套装功能完善，具有信息收集、竞争清除、文件下载、挖矿执行和持久化等功能
与8220挖矿团伙有高度关联，可能是其变种或更新版本
企业应提高对挖矿木马的警惕，特别是通过Web漏洞入侵的案例
防御重点应放在漏洞修补、权限控制和持续监控上

挖矿脚本分析与防御教学文档一、恶意脚本概述本文分析的是一个名为 cr.sh 的恶意挖矿脚本及其关联的 zz.sh 脚本，疑似与国内知名的8220挖矿团伙有关。二、脚本功能分析 1. cr.sh脚本功能系统信息收集：执行 ps ax 、 netstat 、 crontab 、 ps 、 top 命令将收集的信息保存为 tmp2.txt 上传到黑客服务器 http://46.249.38.186/rep.php 命令伪装：将 curl 与 wget 命令替换为 LDR 进程检查：检查系统中是否运行 tmp/java 和 w.conf （挖矿配置文件）下载执行：从互联网下载 zz.sh 并执行 2. zz.sh脚本功能第一步：清除竞争挖矿进程使用 pkill -f 终止常见挖矿进程 -f 参数匹配完整进程参数字符串（从 /proc/nnnnn/psinfo 获取）主要依据挖矿路径和进程名根据挖矿配置文件终止更多进程通过矿池地址终止关联进程示例矿池地址： stratum+tcp://163.172.205.136:3333 第二步：删除挖矿相关文件主要清理目录： /var/tmp/ 下的文件 /tmp/ 目录下的文件第三步：文件完整性检查检查 /tmp/java 的MD5值是否匹配： b00f4bbd82d2f5ec7c8152625684f853 71849cde30470851d1b2342ba5a5136b 不匹配则执行 rm -rf 删除检查 w.conf 文件目录不存在则用 mkdir 创建第四步：下载恶意文件定义 download 函数从远程服务器下载：文件： pscf3 和 java 下载源： https://bitbucket.org/zrundr42/mygit/raw/master/x_64 MD5校验：期望MD5： 71849cde30470851d1b2342ba5a5136b 实际为XMRig 2.8.1 Linux版（2018年11月18日编译）第五步：启动挖矿并持久化下载挖矿配置文件并启动挖矿完成后删除配置文件写入定时任务确保持续运行：定时任务URL： http://46.249.38.186/cr.sh 三、挖矿配置分析矿池地址： stratum+tcp://163.172.205.136:3333 钱包地址： 46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S 与国内8220挖矿团伙钱包地址一致已挖37个门罗币（约1.1万人民币）四、与8220挖矿团伙的关联相似点：使用相同的钱包地址使用XMRig挖矿软件类似的清除竞争挖矿进程的行为差异点： XMRig版本更新为2.8.1 下载路径改为 https://bitbucket.org 未发现Windows模块部分功能有变化五、防御措施 1. 预防措施及时修补漏洞：修复Web应用程序的命令执行漏洞保持系统和软件更新权限控制：限制服务器上的命令执行权限使用最小权限原则监控措施：监控异常进程（如 /tmp/java ）监控异常网络连接（如3333端口） 2. 检测方法文件监控：监控 /tmp/ 和 /var/tmp/ 目录的异常文件检查 cr.sh 、 zz.sh 等可疑脚本进程监控：检查异常进程名（如 java 在非标准位置）监控CPU使用率异常的进程网络监控：监控到 46.249.38.186 的连接监控到矿池地址（如 163.172.205.136:3333 ）的连接 3. 清除方法终止恶意进程：删除恶意文件：清理定时任务：检查并删除下载的脚本：六、总结该挖矿脚本套装功能完善，具有信息收集、竞争清除、文件下载、挖矿执行和持久化等功能与8220挖矿团伙有高度关联，可能是其变种或更新版本企业应提高对挖矿木马的警惕，特别是通过Web漏洞入侵的案例防御重点应放在漏洞修补、权限控制和持续监控上