记一次挖矿病毒应急响应事件

最新推荐文章于 2025-04-14 15:50:46 发布
原创 最新推荐文章于 2025-04-14 15:50:46 发布 · 952 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链 #反病毒 #网络安全 #信息安全

安全技术人员发现内网主机与外部互联网异常通讯,CPU使用率高达100%。经分析,v6w5m43T.exe可疑进程占用大量资源,与恶意IP建立连接。使用火绒剑、Autoruns等工具定位并删除恶意文件和计划任务。最终,通过安装安全软件并执行全盘扫描清除挖矿病毒,修复方法包括清除病毒文件、恶意计划任务及开机启动项。

应急主机排查

近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。
在这里插入图片描述
查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。

进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。
在这里插入图片描述
使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与外部互联网地址建立连接。
在这里插入图片描述
发现恶意程序与外部互联网建立连接的IP地址,使用通过微步在线溯源IP信息。

及时切断网络连接,进行网络隔离。
在这里插入图片描述
使用Autoruns工具检查该主机开机自动加载的所有程序,发现可疑任务。
在这里插入图片描述
打开“任务计划程序”,发现存在恶意定时任务。

定时任务:系

最低0.47元/天 解锁文章
网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
Window应急响应(四):挖矿病毒
08-05 5597
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
一次真实的挖矿病毒应急响应
一纸荒芜的博客
03-25 7297
分享一起真实的挖矿病毒应急响应案例
一次应急响应
weixin_33725270的博客
07-21 285
事件描述本次安全事件,客户内部几台服务器DNS指向被改,上次检查情况表明,域控并未遭受入侵。通过客户反映,在7月11日网络防火墙当天流量异常,遂对存在流量异常的服务器进行检查分析 进程分析: 在检查我利用pchunter对192.168.96.136这台服务器的进程调用情况进行了详细分析,发现有黑客利用PowerShell连接外部网络下载木马文件并且已经运行木马文件。确定此台服务器已被入侵,如...
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 1950
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒应急响应和防范措施进行分析和总结。
挖矿病毒应急响应处置手册
安全狐
03-21 1265
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
·Linux挖矿病毒应急响应
chongya927的博客
03-01 2781
Linux挖矿病毒应急响应
一次模拟Windows挖矿病毒应急响应的流程及思路
m0_60870041的博客
03-18 1728
大胆狂徒!竟敢用我的RTX-5090挖矿
一次挖矿病毒应急响应
qq_40909772的博客
01-14 3311
1.概述   接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。 思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置   客户设备是一台华为的设备,如下图是模拟的一个拓扑:   例如配置GigabitEthernet0/0/1端口流量镜像
挖矿病毒应急响应分析
qq_43147309的博客
03-17 1654
Top发现CPU资源异常,wafmanager占用大量网络带宽: 作为管理员来说,首先kill它: 用户root运行。 查询特权用户和远程登陆的账号信息,其中r00t很可疑: 查看除root外的用户权限: 查看账号执行过的命令: R00t: 其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看...
·Windows挖矿病毒应急响应
chongya927的博客
02-28 5109
Windows挖矿病毒应急响应
挖矿病毒应急处置
2301_77977773的博客
07-22 2499
windows server2016虚拟机(切千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
一次被通报的挖矿事件应急响应
Boom!脑洞大爆炸的博客
07-05 1632
某单位被上级单位通报,单位的出口IP和境外IP有异常通信行为,要求进行紧急处置。
一次应急响应
weixin_67289581的博客
03-14 568
linux应急
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 2万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
一次应急响应描述
Jeromeyoung
02-23 1498
1、什么是应急响应事件发生了后怎么去做 2、应急响应流程 简单概括: 准备阶段:需要快照(日志、服务端口等)、应急响应工具包、 启动(检测)阶段:讨论相关的阶段 抑制阶段:不重要的业务断网、隔离、中断服务、断开接连等操作 根除阶段:对控制的木马病毒进行删除 恢复阶段:像木马病毒进行的操作对其还原原来的状态 跟进阶段:对被入侵的机器进行监控,防止再次出现问题 3、主机入侵排查思路 Windows 一、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询
应急响应-挖矿病毒
最新发布
qq_45694932的博客
04-14 416
kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名 去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿,CPU拉满,网络阻塞。观察网络连接,cpu,gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。
应急响应】Windows应急响应手册(准备阶段、挖矿病毒
李同學的安全圈
07-16 2220
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值