加密挖矿恶意软件清除

根除与恢复

快速清除客户系统中的加密挖矿恶意软件

当我们的客户注意到他们服务器上关于CPU使用率略有升高的警报时,他们起初并没有太在意,但明智地让我们进行检查。这是一个非常理想的应对方式,而且他们能留意到这些情况也非常重要,因为我们得以相当迅速地发现并解决问题。

所幸我们事先为他们制定了完善的备份和反勒索软件方案,虽然这次攻击令人遗憾,但他们仍然得以在不造成重大影响的情况下完成恢复。

最新情况报告

入侵指标

大量服务器延迟波动

当客户发现他们的服务器在短时间内的使用量急剧上升时感到非常震惊,包括 CPU、磁盘空间和网络使用量在内的各项指标都大幅增加,涨幅超过 199%。

意外的用户

该网页服务器通常不会有多个用户进行访问,但发现已经新建了用户账户。

无法识别的运行脚本

经检查发现,服务器上有来源不明的可疑脚本在运行。随后确认这些脚本实际上是 xmrig 加密货币挖矿程序,用于在客户的服务器上挖掘门罗币。

备份机制中的潜在错误

尽管客户拥有完善的备份机制,但备份中仍然存在明显的问题和潜在冲突,这些问题可能是恶意行为者为阻止彻底清除而造成的。

在地平线上

挑战

持久性恶意软件

即使被移除,这种恶意软件仍然非常顽固和恶毒,能够重新安装自身并逃避彻底清除。

未维护且已打补丁的服务器

总体而言,一个问题在于这台正在使用的服务器在维护、打补丁和更新方面有些被忽视了。

漏洞管理

一个主要的收获和需要改进的地方是要在服务器上的软件和服务中,更好地进行漏洞扫描和监控。

快速操作

SEIRIM 团队已部署最佳实践步骤以清除恶意软件并恢复服务

SEIRIM 已按照事件响应计划协议,正确地识别、隔离、清除并从恶意软件攻击中恢复。我们采取了谨慎的步骤,彻底确认威胁已被真正消除,因为迹象表明该恶意软件有可能再次出现。

恶意软件的识别

使用工具 “htop” 确认了消耗并导致高 CPU 使用率的进程。原因是运行了脚本 /root/c3pool/xmrig --config=/root/c3pool/config.json。

 

xmrig 是一款加密货币挖矿程序,主要用于挖掘门罗币(Monero),但也支持其他类型的加密货币。它由 C 和 C++ 编写,其源码是公开的。这本身是一个合法的软件,但不幸的是经常被威胁行为者滥用。xmrig 的官方文档:https://xmrig.com/docs/miner

恶意软件的遏制

SEIRIM 立即将该网页服务器下线,终止其服务,并将服务器与网络其他部分及客户资产隔离。已禁用所有对外连接,并对账号访问凭据进行了全面更改。

 

在停止/终止加密货币挖矿程序的过程中,发现上述进程无法手动或直接终止,随后通过命令 systemctl list-unit-files | grep enabled 发现服务器核心服务中注册了名为 c3pool_miner.service 的服务,并在后台运行。随后该服务被停止。

调查感染媒介

在检查服务器的 SSH 登录记录日志时,发现其通过针对 SSH 服务的暴力破解攻击被入侵的证据。

 

在后续的加固阶段,所采取的补救措施包括:修改 SSH 服务的策略和端口以避免暴力破解攻击,并重置 root 用户和普通用户的密码/凭证。

确定启用漏洞的问题

服务器和各项服务已经运行了很长一段时间,但缺乏足够的维护和监控。软件本身运行尚可,但近期在实际环境中发现了一个新的漏洞:CVE-
2025-66478(Next.js)CVE-2025-55182(React)

 

许多部署了 Next.js 的服务器已遭到攻击,现在我们客户的项目也受到影响,该项目是基于 Next.js 15.5.3 框架和 React 19.1.0 开发的。

最高严重等级 CVSS 10.0

在 React 服务器组件(RSC)协议中发现了一个严重漏洞。该问题的 CVSS 评分为 10.0,在未打补丁的环境中处理由攻击者控制的请求时,可能会导致远程代码执行。

 

未经过身份验证的攻击者可以向任意服务器函数端点构造恶意 HTTP 请求,当该请求被 React 反序列化时,即可在服务器上实现远程代码执行。

所有资产的升级和补丁

对于当前基于 Nextjs 15.5.3 的项目,我们需要根据官方文档将其升级到最新版本。离线备份已进行恶意软件检测,在确认安全无恶意程序后,对其进行了升级、打补丁,并用于服务恢复。

 

在此过程中遇到了一些与版本相关的问题,但在一段时间后得到解决,同时备份流程也得到改进。部署完成后,又进行了多轮重新扫描和测试,以确认问题已被彻底、干净地解决。

图像

活动记录