【挖矿】ADB.Miner挖矿概述及自查防护
ADB.Miner挖矿攻击
1. 概述
挖矿名称 | MyKings |
---|---|
涉及平台 | 搭载安卓系统的移动端、智能设备 |
相关恶意代码家族 | ADB.Miner |
攻击入口 | 利用安卓开启的监听5555端口的ADB调试接口传播 |
相关漏洞及编号 | 无 |
描述简介 | ADB.Miner是由360发现的利用安卓设备的ADB调试接口传播的恶意挖矿程序,其支持利用xmrig和coinhive两种形式进行恶意挖矿。 |
2. 自查方法
2.1 ADB配置
- 下载ADB调试工具
Adb_fastboot
- 解压后点击批处理文件
出现这些信息说明配置成功
2.2 查询方法
-
在 Android 设备上启用开发者选项:
要在 Android 设备上授权 ADB,您需要启用开发者选项。操作如下:
进入设备的设置菜单。
向下滚动,找到 “关于手机” 或 “关于设备”。
查找 “版本号” 条目,多次点击它(通常大约点击 7 次),直到出现一条消息,说明您已启用开发者选项。 -
启用 USB 调试:
启用开发者选项后,您可以启用 USB 调试,这对于 ADB 的工作是必要的:
返回主设置菜单。
现在您应该看到 “开发者选项” 作为一个条目。进入它。
找到并启用 “USB 调试”。 -
在设备上接受 ADB 连接:
有时,当您将设备连接到计算机时,设备的屏幕上可能会显示一个确认对话框,询问您是否允许 USB 调试。确保接受此提示。 -
执行adb shell top命令,按"C"查看CPU占用率进程,存在类似com.ufo.miner的进程
-
执行adb shell ps | grep debuggerd命令,存在/sytem/bin/debuggerd_real进程
-
执行adb shell ls /data/local/tmp命令,查看目录下是否存在如下文件名称:droidbot, nohup, bot.dat, xmrig*, invoke.sh, debuggerd等。
3. 如何清除
可以执行如下步骤进行清除:
- pm uninstall com.ufo.miner移除相关挖矿程序APK
- 执行ps | grep /data/local/tmp列举相关挖矿进程,执行kill -9进行终止
- 执行rm命令删除/data/local/tmp下相关文件
- mv /system/bin/debuggerd_real/system/bin/debuggerd恢复debuggerd文件
4. 如何防护
可以采用如下方式进行防护:
- 进入 Android 设备设置,关闭adb调试或adb wifi调试开关
- 执行setprop service.adb.tcp.port设置调试端口为其他值,ps | grep adbd获得adbd进程并执行kill -9进行终止
- 在root权限下可以配置iptables禁止外部访问5555端口:
iptables -A INPUT -p tcp -m tcp --dport 5555-j REJECT
捂热: 解决方案就是我上面发的这2个,我配置了MAxstartups和KexAlgorithms为curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521发现还是不行,还是被扫出来了
迷茫运维路: 能贴一下你漏扫报告提供的解决方案吗?我的漏扫报告里只有漏洞,我拍执行完这个后服务器连不上了
迷茫运维路: 让它再扫一次
捂热: 这个怎么去验证是否修复成功了呢,我这边服务器的漏扫报告里说的是这2种解决方案 - 如果无法使用其他缓解机制,并且客户端支持 Diffie-Hellman(ECDHE)的椭圆曲线变体或 RSA 密钥交换,则应禁用 DHE 密钥交换。应考虑 RSA 密钥交换不是前向秘密。 - 例如,在远程服务器的配置中限制并发连接的最大数量。对于 OpenSSH,可以通过 'MaxStartups' 选项进行配置,对于其他产品,请参阅该产品的手册以了解配置可能性。
VincalLam: 催更催更