IPFS/FIL服务器被挂“定时任务”，所有外部威胁情报库无法有效识别，该如何破

前言

所谓“定时任务”攻击，就是攻击者利用服务器上的Web应用漏洞非法侵入服务器后，将“定时任务”放置在某个毫不起眼的用户身上，伪装成服务器上的某种进程，如rsync备份进程，这样即使删除了进程中的木马，“定时任务”依然会自动从互联网上下载最新的木马程序来执行，这种伪装非常隐秘，能成功绕开所有安全公司的威胁情报库，必须通过人工检索才能精准锁定。

事故发生

2021年6月17日，网安信安全团队收到某IPFS/FIL运营企业客户的紧急报警，说他们的一台运维管理服务器疑似遭受“挂马”攻击，CPU资源被严重占用，但怎么排查也无法找到恶意代码的踪迹，而且该台服务器已经安装了国内某知名安全公司的监控系统，并没有给出任何预警，要不是客户的运维人员出于职业敏感，知晓这台服务器上并没有运行需要占用大量CPU资源的应用，怀疑出现这种情况应该属于不正常情况，否则很难发现这次“挂马“攻击。

网安信安全工程师在接到客户报警后，第一时间登录客户疑似遭受“挂马”攻击的服务器进行排查，发现这台服务器已经被攻击者完全控制，确实是中了比较严重的“挖矿\"木马，但暂时没有发现很明显的攻击痕迹。

那么，攻击者是如何侵入的呢？侵入后攻击者做了什么事情？这台服务器到底中了什么样的挖矿木马？这起事件会有什么样的后果？带着这些疑问，网安信安全工程师开始了逐步排查。

事故排查

1、排查事故发生原因

“挂马“攻击一般都是利用服务器上运行的Web应用漏洞实施注入攻击，获取服务器管理权限后执行恶意木马程序。网安信安全工程师对客户疑似遭受攻击的服务器上运行的所有Web应用程序进行了一次漏洞初筛，发现在这台服务器上正在运行的某集群Web应用存在较为严重的安全漏洞，其他应用暂时没有发现类似高危漏洞，因此，基本上可以锁定本次“挂马“攻击就是通过该集群Web应用上的安全漏洞实施，从而进一步对该台服务器实现完全控制。可惜的是该Web应用上的漏洞弱点证据已被清除，无法完全证实，但nginx日志被破坏，也能充分说明。

2、排查恶意代码类型

确定了攻击产生的原因后，下一步就是排查恶意代码的类型。网安信工程师在较早之前遇到过类似的攻击，初步判断该木马也是通过伪装才绕过了该台服务器上预先安装的某安全公司的安全监控系统，以至于该安全监控系统不能有效识别。既然确定是伪装，那肯定伴随着相应的“定时任务“，经过与网安信特征库进行详细比对后，网安信安全工程师精准锁定了该”定时任务“，然后再根据”定时任务“进行分析，最终确认该挖矿木马为”tor2web“挖矿病毒的变种。

3、排查攻击的影响范围

本次事故报警时间是2021年6月17日，但经过网安信安全工程师的排查，发现攻击者其实早在6月15日就已经成功侵入客户这台服务器，获取了最高权限，由于这台服务器属于运维管理服务器，通过这台服务器攻击者成功获取到了它旗下整个集群所有IPFS/FIL服务器的登陆私钥以及ansible部署方案，攻击者又通过ansible 批量部署模式，对这台服务器旗下所有服务器实施了“挂马“攻击，也就是说攻击者已经完全掌控了整个集群的所有服务器，如果不是发现及时，造成的损失可能无法预估。

事故解决

既然已经确认了该木马伴随着相关的“定时任务”，因此就不能通过单纯的杀死进程中的恶意木马的方式来进行清除，必须先清除相应的“定时任务”后，再清除伪装进程中的恶意木马，才能彻底清除被攻击服务器中的恶意木马。确定方案后，网安信安全工程师立即实施了清除计划，目前客户所有服务器都恢复到了正常状态。

后续安排

当然，如果要将上述风险降低到最低，就必须对该台运维管理服务上运行的集群Web应用的安全漏洞进行加固处理，且对该台服务器的安全防护加入更多的人工干预。因此，网安信安全团队建议该IPFS/FIL运营企业客户尽量扩大网安信智能监控系统的防护范围，以便网安信安全团队有充分的安全数据进行人工分析，并对所有Web应用的访问权限进行更加严密的控制，例如只允许固定的IP访问，此外，有必要需要对服务器上运行的所有Web应用进行更加详尽的渗透测试，和漏洞加固处理。

—-

编译者/作者：币友_1132595014

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。