应急响应-Windows-挖矿病毒

原创

已于 2024-12-03 09:21:32 修改 · 1.9k 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #windows #服务器

于 2024-05-14 17:17:39 首次发布

随着虚拟货币市场的繁荣，挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘，给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。

一、病毒感染现象

挖矿病毒的感染常常表现为服务器资源占用率异常高，CPU被占用接近100%，服务器启动缓慢等现象。此外，挖矿病毒还可能向大量远程IP的特定端口发送请求，通过利用多种漏洞进行感染和传播。

二、应急场景和事件分析

应急场景一：

服务器资源占用率异常高，重启后程序启动缓慢。

1.断网隔离被感染的服务器/主机，防止成为跳板机。

2、检查异常端口、进程

检查端口连接情况，是否有远程连接、可疑连接。

netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED
根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | find “PID”

进程

任务管理器 Ctrl + Shift + Esc
运行命令提示符（cmd）中输入 taskmgr 并按下 Enter 键即可打开任务管理器。
打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

3.清除挖矿病毒

关闭异常进程

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Administrator_ABC

关注关注

5
点赞
踩
13

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤

wangyuxiang946的博客

05-05

2万+

首先根据CPU占用率确定确定挖矿进程，找到母体文件并清除。而后是检查计划任务、启动项中，挖矿木马的持久化操作，杜绝复发。最后通过账号、日志、母体文件等信息，溯源攻击路径。

【应急响应】Windows应急响应手册（准备阶段、挖矿病毒）

李同學的安全圈

07-16

2228

本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段，以多方面、多维度进行展开，对于常见的应急事件所采取的应对措施进行阐述，希望对从事网安工作的小伙伴们有所帮助！

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

2401_84975360 2024.05.15
大佬高质量文章，图文并茂，逻辑清晰，受益匪浅，期待大佬新作。【我也写了一些相关领域的文章，希望能够得到博主的指导，共同进步！】

挖矿病毒处理

最新发布

2301_80029645的博客

09-25

1261

学习Linux系统中挖矿病毒的应急响应需要系统性的知识和实践。声明：本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负！通过反复练习真实案例（如Kali Linux中的挖矿病毒模拟），可以快速提升实战能力。如果需要更具体的某个工具或病毒的处理流程，可以进一步提问！本人才学疏浅，有误之处请大方指出，愿意接受各位批评。

服务器中了挖矿病毒的检测及删除方法

penriver的博客

12-13

9176

本文提供了服务器中了挖矿病毒的检测及删除方法，供有需要的IT人员使用。最近一段时间，公司内网的linux服务器无故CPU占用很高，导致系统缓慢，严重影响研发部的正常工作。经排查是部分linux服务器中了挖矿病毒，该病毒占满cpu进行挖矿，导致系统缓慢。

记·Windows挖矿病毒应急响应

chongya927的博客

02-28

5123

Windows挖矿病毒应急响应

Window应急响应（四）：挖矿病毒

08-05

5604

0x00 前言随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。 0x01 应急场景某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。 0x02 事件分析 ...

应急响应-挖矿病毒

qq_45694932的博客

04-14

425

kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿，CPU拉满，网络阻塞。观察网络连接，cpu，gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。

挖矿病毒应急响应处置手册

安全狐

03-21

1268

通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下：服务器或PC访问过不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序，而不受信任的来源主要是：第三方情报结构，企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务，并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。

应急响应-Windows挖矿实战

告白的博客

09-10

859

初步判定为192.168主机的rdp爆破进入本主机，主机存在木马文件，且存在计划任务，后门，映像劫持用来权限维持，将相关病毒查杀删除后，全班主机查杀后，重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。

挖矿病毒应急处置

2301_77977773的博客

07-22

2501

windows server2016虚拟机（切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日，接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿，怀疑内网感染了挖矿病毒。客户要求查出来原因，确认出影响范围，删除相关病毒文件并找出如如何感染的，梳理出时间链。从而避免下次出现相同的问题。

记一次挖矿病毒的应急响应

qq_40909772的博客

01-14

3312

1.概述接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路根据通告信息中的地址，询问客户，发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat，所以此地址不是中毒主机。尝试查看路由器中是否存在nat地址转化表，最后发现路由器上是做了基于端口的地址转换，这个方法行不通。思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置客户设备是一台华为的设备，如下图是模拟的一个拓扑：例如配置GigabitEthernet0/0/1端口流量镜像

记一次挖矿病毒应急响应事件

MachineGunJoe666

11-10

956

应急主机排查近日，我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为，以下是对其中一台主机挖矿应急处置分析。查看Windows任务管理器，发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。进一步查看使用率过高的进程，发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率，并且powershell.exe进程被大量调用。使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析，可以看到该文件所在执行位置的绝对路径，并且存在与

挖矿病毒应急响应分析

qq_43147309的博客

03-17

1655

Top发现CPU资源异常，wafmanager占用大量网络带宽：作为管理员来说，首先kill它：用户root运行。查询特权用户和远程登陆的账号信息，其中r00t很可疑：查看除root外的用户权限：查看账号执行过的命令： R00t：其中查看了selinux, selinux主要影响的是网络服务，如果开启了某个网络服务就要考虑是否和selinux有关系。查看...

【记一次真实的挖矿病毒应急响应】

一纸荒芜的博客

03-25

7346

分享一起真实的挖矿病毒应急响应案例

忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应

m0_61431042的博客

06-17

1125

随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...

记·Linux挖矿病毒应急响应

chongya927的博客

03-01

2782

Linux挖矿病毒应急响应

挖矿病毒应急响应思路，挖矿病毒事件处理步骤

Karka_的博客

09-08

916

比特币系统每隔一段时间就会在节点上生成一个「随机代码」，互联网中的所有设备都可以寻找这个代码，谁先找到就能获得奖励。而「寻找代码」的过程，就是挖矿。设备通过计算来筛选出符合条件的随机代码，每找到一个随机代码往往需要上万亿次的「哈希运算」，CPU通常会被顶到100%。为了「降低成本」，黑客往往会通过入侵的方式，控制别人的计算机来帮自己挖矿。从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

网络安全应急响应----6、挖矿攻击应急响应

热门推荐

七天

03-21

2万+

文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御一、挖矿木马简介挖矿：每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块。而比特币的发行是基于奖励的，每促成一个区块的生成，该节点便获得相应

挖矿应急响应小结

bloodzer0

03-04

1305

背景：总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析当服务器或PC处于什么样的状态时，我们可以判定为被挖矿。通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下： 服务器或PC访问[过]不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...

应急响应-vulntarget-j-02

04-01

<think>好的，我需要帮助用户查找关于应急响应 vulntarget 配置 j-02 的相关信息。首先，用户提到的vulntarget系列似乎是用于模拟勒索病毒攻击的应急响应靶场环境，例如引用[1]中提到的vulntarget-n，引用[3]提到的vulntarget-k-03。但用户询问的是j-02，这可能在现有的引用中没有直接提到。接下来，我需要检查现有的三个引用内容是否有任何与j-02相关的线索。引用[1]主要描述vulntarget-n的案例，涉及阿里云环境被勒索攻击的情况。引用[2]讨论了应急响应中的数据库和漏洞口令检索，以及工具箱的重要性，但没有具体提到j-02。引用[3]提到了vulntarget-k-03，分析了通过日志定位攻击时间的方法。由于现有引用中没有明确提到j-02，可能需要根据vulntarget系列的一般特征来推断。例如，vulntarget靶场通常模拟真实攻击场景，包含被加密的文件、日志分析、入侵痕迹排查等。配置j-02可能涉及类似的组件，比如Web应用漏洞、SSH或Redis服务的配置问题，如引用[3]中提到的.ssh和redis.log分析。此外，用户可能需要检查配置文件中的特定漏洞或攻击路径。根据引用[2]，第三方应用的安全配置和口令安全是关键点，所以j-02可能涉及弱口令或未修复的漏洞，例如Redis未授权访问，这可能导致攻击者入侵并部署勒索病毒。总结来说，虽然没有直接的j-02信息，但可以建议用户按照vulntarget系列的通用的应急响应步骤进行排查：检查日志文件（如系统日志、应用日志）、分析异常进程、检查开放端口和服务配置，尤其是涉及数据库或远程访问的服务。同时参考已有的案例方法，比如引用[3]中的时间戳分析，可能帮助定位攻击时间点。最后，建议用户查阅官方文档或社区资源，获取vulntarget各版本的具体配置信息，或者联系相关平台的支持团队，以确认j-02的具体场景和配置细节。</think>关于**应急响应 vulntarget 配置 J-02**的相关信息，目前公开资料中未直接提及该特定版本的详细配置。但根据现有 vulntarget 系列靶场的设计逻辑和引用内容，可推断以下关键点及排查方向： --- ### 一、vulntarget 系列靶场通用特征 1. **模拟勒索攻击场景** 通常包含被加密的文件（如`.vulntarget`扩展名）、异常进程、日志篡改等痕迹，需通过日志分析、文件恢复、入侵路径追踪进行响应[^1]。 2. **依赖第三方服务漏洞** 如 Redis 未授权访问、SSH 弱口令等，攻击者可能通过此类漏洞植入恶意程序或加密文件[^3]。例如： - 检查 Redis 日志中异常操作时间点：`redis.log`中的`DB loaded from disk`时间戳可定位攻击时间。 - 排查 SSH 登录记录：`.ssh`目录的修改时间与日志中的登录事件关联分析。 3. **应急取证工具箱需求** 需结合自动化工具（如日志分析脚本、内存取证工具）和人工排查，快速定位攻击入口点和影响范围[^2]。 --- ### 二、针对配置 J-02 的可能排查方向 1. **日志文件分析** - 系统日志：`/var/log/auth.log`（SSH 登录记录）、`/var/log/syslog`（服务异常） - 应用日志：Web 服务（如 Apache/Nginx）、数据库（MySQL/Redis）日志中的异常请求或未授权操作。 2. **服务配置检查** - **Redis 配置**：是否启用密码认证、绑定 IP 限制（参考 vulntarget-k-03 的 Redis 漏洞利用场景）。 - **SSH 配置**：是否禁用 root 登录、是否使用强口令（引用[2]提到口令检索的重要性）。 3. **文件系统痕迹** - 查找加密文件（如`.vulntarget`扩展名）及对应的加密进程残留。 - 检查定时任务（`crontab -l`）或启动项中的可疑脚本。 --- ### 三、推荐工具与方法 1. **漏洞扫描与口令爆破检测** 使用工具如 `hydra` 或 `Nmap` 检测开放端口的弱口令风险[^2]。 2. **时间线分析** 通过 `find` 命令结合 `-mtime` 或 `-newermt` 参数，按时间筛选被篡改文件（如引用[3]中通过修改日期定位攻击时间）。 ```bash find / -name "*.vulntarget" -mtime -1 # 查找24小时内被加密的文件 ``` 3. **内存取证** 使用 `Volatility` 分析内存转储，提取恶意进程或网络连接记录。 ---