Устранение майнера moneroocean xmrig


Всем привет!

Не так давно ко мне обратились за помощью для устранения вредоносного ПО на сайте — майнера moneroocean xmrig который после удаления всегда появлялся по пути
/tmp/.tmp/moneroocean/config_background.json

Первичная уязвимость оказалась в том, что на хостинге забыли удалить сайт по умолчанию в /home/bitrix/www — в итоге установочные скрипты были доступны по IP адресу сервера, чем и воспользовались злоумышленники — разместили бэкдор /.500.php следующего содержания

В решении вопроса помог саппорт Битрикса (я почему-то сразу упёрся в анализ логов и поиск бэкдора в /ext_www/ где были расположены сайты, а про /www/ как то позабыл).

Приведу полный текст саппорта, т.к. там приведены другие возможные места размещение бэкдора (у меня там было чисто):

Добрый день!

Если ваш сервер был заражен майнером Xmrig, то рекомендации могут быть следующими.

— зайти по ssh на сервер
— посмотреть, есть ли процесс xmrig, если да, то откуда он запущен
— завершить процесс майнера xmrig
— проверить — удалить папки /home/bitrix/.system и /home/bitrix/.web, (вероятно, xmrig лежит там):

pkill -f ‘sql_backup.sql’
pkill -f ‘bitrix_sql_dump’
pkill -f ‘xmrig’
rm /tmp/xmrig
rm /home/bitrix/sql_backup.sql
rm /home/bitrix/bitrix_sql_dump
rm /home/bitrix/.web
find /home/bitrix/ -maxdepth 5 -name auth_login.php | xargs rm

— Удалить файл /home/butrix/.winds
— проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное
— удалить по всем сайтам файл auth_login.php (лежит, как правило, в корне и папке /bitrix/admin)
— проверить сайт через сканер троянов https://marketplace.1c-bitrix.ru/solut…rix.xscan/ (?)
— проверить содержимое файлов t.php и 404.php на предмет вредоносного кода
— удалить сайт по умолчанию в /home/bitrix/www, если он не нужен.
— проверить, нет ли в системе лишних администраторов, сменить пароли, настроить двухфакторную авторизацию (Битрикс, ssh, ftp, mysql)
— сменить ключи всех API интеграций, если таковые использовались

К сожалению, вынуждены отметить, что выполнения данных действий может быть недостаточно для полного излечения, так как на вашей установке ситуация может отличаться. Поэтому, настоятельно рекомендуем привлечь к анализу ситуации опытного системного администратора и, если есть, специалиста по безопасности.

,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *