RainbowMiner自2019年就频繁出现，由于其访问的C&C域名带有Rainbow字符串而得名，其最大的特点是会隐藏挖矿进程kthreadds，排查人员会发现主机CPU占用率高，但找不到可疑进程。为了躲避DDG及安全人员的查杀，其采用了多种方式进行隐藏及持久化攻击，由于其会访问域名Rainbow66.f3322.net，是一个“求生欲“极强的Linux挖矿病毒家族。   主机中毒现象：   1、隐藏挖矿进程/usr/bin/kthreadds，主机CPU占用率高但看不到进程。 2、访问Rainbow66.f3322.net恶意域名。 3、创建ssh免密登录公钥，实现持久化攻击。 4、存在cron.py进程持久化守护。   病毒清除步骤： 1、下载busybox：wget http://www.busybox.net/downlo…_64。 2、使用busybox top定位到挖矿进程kthreadds及母体进程pdflushs，并清除。 3、删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件，及/etc/rc*.d/下的启动项。 4、删除/lib64/下的病毒伪装文件。 5、清除python cron.py进程。   加固建议： 1、Linux恶意软件以挖矿为主，一旦主机被挖矿了，CPU占用率高，将会影响业务，所以，需要实时监控主机CPU状态。 2、定时任务是恶意软件惯用的持久化攻击技巧，应定时检查系统是否出现可疑定时任务。 3、企业还大量存在ssh弱密码的现象，应及时更改为复杂密码，且检查在/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。 4、定时检查Web程序是否存在漏洞，特别关注Redis未授权访问等RCE漏洞。

https://www.mfisp.com/hkidc/sunserver/ 香港独立服务器仅需300元起，详细咨询QQ：80496086   推荐： CPU：E5-2650LV2 内存：16GB 硬盘：1TB SATA 带宽：20M CIA IP：3个

部分网站内容及图片来源于网络，如有侵权或违规内容请联系管理员删除！

 

TAG: 微软进程挖矿主机持久可疑