应急响应-Windows-挖矿病毒

原创 已于 2024-12-03 09:21:32 修改 · 1.9k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #windows #服务器

于 2024-05-14 17:17:39 首次发布

随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。

一、病毒感染现象

挖矿病毒的感染常常表现为服务器资源占用率异常高,CPU被占用接近100%,服务器启动缓慢等现象。此外,挖矿病毒还可能向大量远程IP的特定端口发送请求,通过利用多种漏洞进行感染和传播。

二、应急场景和事件分析

应急场景一:

服务器资源占用率异常高,重启后程序启动缓慢。

1.断网隔离被感染的服务器/主机,防止成为跳板机。

2、检查异常端口、进程

检查端口连接情况,是否有远程连接、可疑连接。

  • netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
  • 根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | find “PID”

进程

  • 任务管理器 Ctrl + Shift + Esc
  • 运行命令提示符(cmd)中输入 taskmgr 并按下 Enter 键即可打开任务管理器。
  • 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

3.清除挖矿病毒

  • 关闭异常进程    &
最低0.47元/天 解锁文章
网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
应急响应Windows应急响应手册(准备阶段、挖矿病毒
李同學的安全圈
07-16 2232
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
挖矿病毒处理
最新发布
2301_80029645的博客
09-25 1275
学习Linux系统中挖矿病毒应急响应需要系统性的知识和实践。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!通过反复练习真实案例(如Kali Linux中的挖矿病毒模拟),可以快速提升实战能力。如果需要更具体的某个工具或病毒的处理流程,可以进一步提问!本人才学疏浅,有误之处请大方指出,愿意接受各位批评。
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 5134
Windows挖矿病毒应急响应
Window应急响应(四):挖矿病毒
08-05 5607
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
挖矿病毒应急处置
2301_77977773的博客
07-22 2506
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
应急响应-挖矿病毒
qq_45694932的博客
04-14 430
kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名 去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿,CPU拉满,网络阻塞。观察网络连接,cpu,gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。
挖矿病毒应急响应处置手册
安全狐
03-21 1271
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
应急响应-Windows挖矿实战
告白的博客
09-10 860
初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。
记一次挖矿病毒应急响应
qq_40909772的博客
01-14 3312
1.概述   接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。 思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置   客户设备是一台华为的设备,如下图是模拟的一个拓扑:   例如配置GigabitEthernet0/0/1端口流量镜像
记一次挖矿病毒应急响应事件
MachineGunJoe666
11-10 957
应急主机排查 近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。 查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。 进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。 使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与
挖矿病毒应急响应分析
qq_43147309的博客
03-17 1657
Top发现CPU资源异常,wafmanager占用大量网络带宽: 作为管理员来说,首先kill它: 用户root运行。 查询特权用户和远程登陆的账号信息,其中r00t很可疑: 查看除root外的用户权限: 查看账号执行过的命令: R00t: 其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看...
【记一次真实的挖矿病毒应急响应
一纸荒芜的博客
03-25 7379
分享一起真实的挖矿病毒应急响应案例
忆享科技戟星安全实验室|五分钟学会挖矿病毒应急响应
m0_61431042的博客
06-17 1125
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 2784
Linux挖矿病毒应急响应
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
Karka_的博客
09-08 921
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 2万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
挖矿应急响应小结
bloodzer0
03-04 1306
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
应急响应-vulntarget-j-02
04-01
首先,用户提到的vulntarget系列似乎是用于模拟勒索病毒攻击的应急响应靶场环境,例如引用[1]中提到的vulntarget-n,引用[3]提到的vulntarget-k-03。但用户询问的是j-02,这可能在现有的引用中没有直接提到。 接...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值