应急响应-Windows-挖矿病毒

原创 已于 2024-12-03 09:21:32 修改 · 1.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #windows #服务器

于 2024-05-14 17:17:39 首次发布

随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。

一、病毒感染现象

挖矿病毒的感染常常表现为服务器资源占用率异常高,CPU被占用接近100%,服务器启动缓慢等现象。此外,挖矿病毒还可能向大量远程IP的特定端口发送请求,通过利用多种漏洞进行感染和传播。

二、应急场景和事件分析

应急场景一:

服务器资源占用率异常高,重启后程序启动缓慢。

1.断网隔离被感染的服务器/主机,防止成为跳板机。

2、检查异常端口、进程

检查端口连接情况,是否有远程连接、可疑连接。

  • netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
  • 根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | find “PID”

进程

  • 任务管理器 Ctrl + Shift + Esc
  • 运行命令提示符(cmd)中输入 taskmgr 并按下 Enter 键即可打开任务管理器。
  • 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

3.清除挖矿病毒

  • 关闭异常进程      taskkill -t -f / pid 结束进程
  • 删除挖矿病毒程序

4.检查启动项、计划任务、服务

检查服务器是否有异常的启动项。

  • 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

  • 单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

  • 利用安全软件查看启动项、开机时间管理等。

检查计划任务

  • 单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性

  • 单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

服务自启动

  • 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。

应急场景二:

使用各种杀毒软件无法清除病毒,即使删除异常文件后,每次重启仍会重新生成。

1.检查网络链接

  • 通过火绒剑查看网络链接,找到对外发送请求的进程ID。

2.进程分析

  • 通过进程ID找到相关联的父进程,找到进程ID的服务项,逐一排查

3.删除服务

  • 删除服务 选择可疑服务项,右键属性,停止服务,启动类型:禁止。 停止并禁用服务,再清除相关目录后,重启计算机。

三、防范措施

新型挖矿攻击展现出了蠕虫般的传播特性,结合了高级攻击技术,因此需要采取多层次的防范措施:

1. 安装安全软件并升级病毒库:及时安装更新安全软件,保持病毒库的最新状态,定期进行全盘扫描,保持实时防护能力。
2. 及时更新系统和应用程序补丁:安装最新的Windows安全补丁,及时修补系统和应用程序的漏洞,以防止挖矿病毒利用已知漏洞进行感染。
3. 加强网络安全配置:开启防火墙,合理配置网络安全策略,临时关闭不必要的端口,限制对系统的远程访问,减少攻击面。
4. 定期备份重要数据:定期备份重要数据,并将备份数据存储在安全可靠的位置,以防止挖矿病毒对数据造成损坏或丢失。

通过以上应急响应和防范措施,可以有效应对挖矿病毒的攻击,保障个人用户和企业网络的安全。

Window应急响应(四):挖矿病毒
08-05 5411
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
网络安全自学教程》- 挖矿病毒排查思路和处置步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
应急响应--164天:挖矿脚本检测,威胁情报
wuqingsix的博客
02-14 688
记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认。kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比。或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)服务器管理器---事件查看器---windows日志---安全 (查看登录记录)cpu---javs.exe(病毒程序)
计算机专业找工作没方向?零基础入门到精通,收藏这一篇就够了
2401_84215240的博客
11-26 836
*1.市场需求大:**随着数字化转型和技术创新的加速,计算机专业人才在金融、电子、教育等多个行业都有很高的需求。**2.就业范围广:**计算机专业的毕业生可以从事网络安全、数据分析、人工智能、软件开发、云计算、游戏开发等多个领域的工作。**3.薪资水平高:**根据有关数据显示,IT行业是目前平均收入较高的行业,其从业人员平均年薪已逾十万元。**1.证券方向:**各省基本都有一所证券公司,沿海省份集中在税前30-40万左右,内地集中在20-30万,一般要求硕士。
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 4455
Windows挖矿病毒应急响应
应急响应Windows应急响应手册(准备阶段、挖矿病毒
李火火的安全圈
07-16 1987
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
挖矿病毒应急处置
2301_77977773的博客
07-22 2351
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
记一次挖矿病毒应急响应
qq_40909772的博客
01-14 3256
1.概述   接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。 思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置   客户设备是一台华为的设备,如下图是模拟的一个拓扑:   例如配置GigabitEthernet0/0/1端口流量镜像
应急响应-挖矿病毒
最新发布
qq_45694932的博客
04-14 310
kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名 去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿,CPU拉满,网络阻塞。观察网络连接,cpu,gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。
挖矿病毒应急响应处置手册
安全狐
03-21 1022
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复
m0_65842464的博客
01-25 2298
Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner。
记一次挖矿病毒应急响应事件
MachineGunJoe666
11-10 886
应急主机排查 近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。 查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。 进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。 使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与
忆享科技戟星安全实验室|五分钟学会挖矿病毒应急响应
m0_61431042的博客
06-17 1071
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
挖矿病毒应急响应分析
qq_43147309的博客
03-17 1624
Top发现CPU资源异常,wafmanager占用大量网络带宽: 作为管理员来说,首先kill它: 用户root运行。 查询特权用户和远程登陆的账号信息,其中r00t很可疑: 查看除root外的用户权限: 查看账号执行过的命令: R00t: 其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看...
挖矿应急响应小结
bloodzer0
03-04 1221
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 2679
Linux挖矿病毒应急响应
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
Karka_的博客
09-08 810
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
【记一次真实的挖矿病毒应急响应
一纸荒芜的博客
03-25 6197
分享一起真实的挖矿病毒应急响应案例
网络安全应急响应----6、挖矿攻击应急响应
七天
03-21 2万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
应急响应-vulntarget-j-02
04-01
<think>好的,我需要帮助用户查找关于应急响应 vulntarget 配置 j-02 的相关信息。首先,用户提到的vulntarget系列似乎是用于模拟勒索病毒攻击的应急响应靶场环境,例如引用[1]中提到的vulntarget-n,引用[3]提到的vulntarget-k-03。但用户询问的是j-02,这可能在现有的引用中没有直接提到。 接下来,我需要检查现有的三个引用内容是否有任何与j-02相关的线索。引用[1]主要描述vulntarget-n的案例,涉及阿里云环境被勒索攻击的情况。引用[2]讨论了应急响应中的数据库和漏洞口令检索,以及工具箱的重要性,但没有具体提到j-02。引用[3]提到了vulntarget-k-03,分析了通过日志定位攻击时间的方法。 由于现有引用中没有明确提到j-02,可能需要根据vulntarget系列的一般特征来推断。例如,vulntarget靶场通常模拟真实攻击场景,包含被加密的文件、日志分析、入侵痕迹排查等。配置j-02可能涉及类似的组件,比如Web应用漏洞、SSH或Redis服务的配置问题,如引用[3]中提到的.ssh和redis.log分析。 此外,用户可能需要检查配置文件中的特定漏洞或攻击路径。根据引用[2],第三方应用的安全配置和口令安全是关键点,所以j-02可能涉及弱口令或未修复的漏洞,例如Redis未授权访问,这可能导致攻击者入侵并部署勒索病毒。 总结来说,虽然没有直接的j-02信息,但可以建议用户按照vulntarget系列的通用的应急响应步骤进行排查:检查日志文件(如系统日志、应用日志)、分析异常进程、检查开放端口和服务配置,尤其是涉及数据库或远程访问的服务。同时参考已有的案例方法,比如引用[3]中的时间戳分析,可能帮助定位攻击时间点。 最后,建议用户查阅官方文档或社区资源,获取vulntarget各版本的具体配置信息,或者联系相关平台的支持团队,以确认j-02的具体场景和配置细节。</think>关于**应急响应 vulntarget 配置 J-02**的相关信息,目前公开资料中未直接提及该特定版本的详细配置。但根据现有 vulntarget 系列靶场的设计逻辑和引用内容,可推断以下关键点及排查方向: --- ### 一、vulntarget 系列靶场通用特征 1. **模拟勒索攻击场景** 通常包含被加密的文件(如`.vulntarget`扩展名)、异常进程、日志篡改等痕迹,需通过日志分析、文件恢复、入侵路径追踪进行响应[^1]。 2. **依赖第三方服务漏洞** 如 Redis 未授权访问、SSH 弱口令等,攻击者可能通过此类漏洞植入恶意程序或加密文件[^3]。例如: - 检查 Redis 日志中异常操作时间点:`redis.log`中的`DB loaded from disk`时间戳可定位攻击时间。 - 排查 SSH 登录记录:`.ssh`目录的修改时间与日志中的登录事件关联分析。 3. **应急取证工具箱需求** 需结合自动化工具(如日志分析脚本、内存取证工具)和人工排查,快速定位攻击入口点和影响范围[^2]。 --- ### 二、针对配置 J-02 的可能排查方向 1. **日志文件分析** - 系统日志:`/var/log/auth.log`(SSH 登录记录)、`/var/log/syslog`(服务异常) - 应用日志:Web 服务(如 Apache/Nginx)、数据库(MySQL/Redis)日志中的异常请求或未授权操作。 2. **服务配置检查** - **Redis 配置**:是否启用密码认证、绑定 IP 限制(参考 vulntarget-k-03 的 Redis 漏洞利用场景)。 - **SSH 配置**:是否禁用 root 登录、是否使用强口令(引用[2]提到口令检索的重要性)。 3. **文件系统痕迹** - 查找加密文件(如`.vulntarget`扩展名)及对应的加密进程残留。 - 检查定时任务(`crontab -l`)或启动项中的可疑脚本。 --- ### 三、推荐工具与方法 1. **漏洞扫描与口令爆破检测** 使用工具如 `hydra` 或 `Nmap` 检测开放端口的弱口令风险[^2]。 2. **时间线分析** 通过 `find` 命令结合 `-mtime` 或 `-newermt` 参数,按时间筛选被篡改文件(如引用[3]中通过修改日期定位攻击时间)。 ```bash find / -name "*.vulntarget" -mtime -1 # 查找24小时内被加密的文件 ``` 3. **内存取证** 使用 `Volatility` 分析内存转储,提取恶意进程或网络连接记录。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值