大家好,我是程序员七海,今天给大家分享一下应急响应之挖矿木马实战演练教程。
喜欢的朋友们,记得给我点赞支持和收藏一下,关注我,学习黑客技术。
什么是挖矿木马
挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。
文章目录
-
-
- 什么是挖矿木马
- 挖矿木马的危害:
- 挖矿木马-实战(排查)
- 消除木马:
- 日志分析:(随便排查出系统存在的其他隐患)
-
- 日志存在:
- 日志不存在:
- 漏洞修复:
- 👉1.成长路线图&学习规划👈
- 👉2.网安入门到进阶视频教程👈
- 👉3.SRC&黑客文档👈
- 👉4.护网行动资料👈
- 👉5.黑客必读书单👈
- 👉6.网络安全岗面试题合集👈
-
挖矿木马的危害:
▶ 影响计算机性能:挖矿木马会占用大量的CPU资源,导致电脑运行缓慢,甚至出现卡顿现象 。
▶ 浪费资源:挖矿过程中会消耗大量的电力,加快硬件老化速度 。
▶ 安全风险:挖矿木马可能会使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失。
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
挖矿木马-实战(排查)
(1)事件概述.
接到某司客户应急响应请求:客户服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直跑满的】
| 了解现状 | 了解发病时间 | 了解系统结构 | 了解网络结构 |
| 主机一直卡,CPU一直跑满 | 05:51 | Linux 系统 系统. | 外网 / 内网 |
| 主机一直卡,CPU一直跑满 | 06:30 | Linux 系统 系统. | 内网 |
| 主机一直卡,CPU一直跑满 | 06:57 | Linux 系统 系统. | 内网 |
(2)确认攻击的范围.(有多少主机被攻击了)
到客户现场发现有服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直满的】
| 主机名 | IP | 感染的情况 | 传播手段 |
| 服务器 | 192.168.1.106 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.109 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.120 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
消除木马:
(1)查看 CPU 的运行情况,是否存在挖矿木马.
top # 查看 CPU 的运行情况.
(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)
find / -name xmrig # 文件名在 CPU 运行满的最后面.
find / -name 文件名
(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)
上传 样本 进行分析,也可以根据里面的 域名 或者 IP地址 进行分析.
https://x.threatbook.com/ # 微步在线
https://www.virustotal.com/gui/ # VirusTotal(上传文件,检查木马)
https://ti.360.net/#/homepage # 360威胁平台
https://ti.nsfocus.com/ # 绿盟威胁情报平台
https://ti.dbappsecurity.com.cn/ # 安恒威胁情报平台
怎么 分析IP 地址呢!(可以查看网络连接找到IP地址的.)
其他所以排查方法:
(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)
kill 5157 # 关闭这个进程.
kill 进程数
(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)
(6)排查 定时任务.
定时定点执行Linux程序或脚本.
crontab -e # 用来创建定时任务.
crontab -l # 查看有多少个任务.
定时保存的路径有以下几个.
vi /var/spool/cron/ # 目录里的任务以用户命名.
vi /etc/crontab # 调度管理维护任务.(排查里面有没有新的添加)
vi /etc/cron.d/ # 这个目录用来存放任何要执行的crontab文件或脚本
(排查有没有新的添加文件 再和运维核对 进行排查)
vi /etc/cron.hourly # 每小时执行一次
vi /etc/cron.daily # 每天执行一次
vi /etc/cron.weekly # 每周执行一次
vi /etc/cron.monthly # 每月执行一次
(7)如果还有,可以排查开机启动项.
其他所以排查方法:应急响应:Linux 入侵排查思路.
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
日志分析:(随便排查出系统存在的其他隐患)
先 Web 的日志(看看是不是上传了木马),系统的日志.(看看是不是被爆破了)
(1)排查 是否存在后门.(Web网站)
使用河马的扫描工具(扫描后门木马)
chmod +x hm # 添加权限
./hm scan /var/www/html
./hm scan 指定的扫描路径.
(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.
(3)排查完进行删除所以木马文件.
日志存在:
(1)确定攻击时间.
就是后门的上传时间,在日志中找这个后门木马的文件名.(比如上面的:.bgxg.php)
(2)确定攻击特征.
文件上传.
(3)确定特征文件.
就是后门木马文件.
(4)确定攻击者IP
(5)攻击复现.
在日志中 找到木马的路径,进行测试就行.
日志不存在:
(1)黑盒测试.(对 Web 网站进行渗透测试.)
(2)查看系统服务是否存在弱口令(Redis,ssh等)
漏洞修复:
(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.
(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.
(3)定期给主机打补丁.
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
