大家好,我是程序员霸哥,今天给大家分享一下应急响应之挖矿木马实战演练教程。
喜欢的朋友们,记得给我点赞支持和收藏一下,关注我,学习黑客技术。
什么是挖矿木马
挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。
文章目录
-
-
- 什么是挖矿木马
- 挖矿木马的危害:
- 挖矿木马-实战(排查)
- 消除木马:
- 日志分析:(随便排查出系统存在的其他隐患)
-
- 日志存在:
- 日志不存在:
- 漏洞修复:
- 👉1.成长路线图&学习规划👈
- 👉2.网安入门到进阶视频教程👈
- 👉3.SRC&黑客文档👈
- 👉4.护网行动资料👈
- 👉5.黑客必读书单👈
- 👉6.网络安全岗面试题合集👈
-
挖矿木马的危害:
▶ 影响计算机性能:挖矿木马会占用大量的CPU资源,导致电脑运行缓慢,甚至出现卡顿现象 。
▶ 浪费资源:挖矿过程中会消耗大量的电力,加快硬件老化速度 。
▶ 安全风险:挖矿木马可能会使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失。
挖矿木马-实战(排查)
(1)事件概述.
接到某司客户应急响应请求:客户服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直跑满的】
| 了解现状 | 了解发病时间 | 了解系统结构 | 了解网络结构 |
| 主机一直卡,CPU一直跑满 | 05:51 | Linux 系统 系统. | 外网 / 内网 |
| 主机一直卡,CPU一直跑满 | 06:30 | Linux 系统 系统. | 内网 |
| 主机一直卡,CPU一直跑满 | 06:57 | Linux 系统 系统. | 内网 |
(2)确认攻击的范围.(有多少主机被攻击了)
到客户现场发现有服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直满的】
| 主机名 | IP | 感染的情况 | 传播手段 |
| 服务器 | 192.168.1.106 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.109 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
| 终端PC1 | 192.168.1.120 | CPU一直跑满 | 利用其他主机漏洞进行横向渗透. |
消除木马:
(1)查看 CPU 的运行情况,是否存在挖矿木马.
top # 查看 CPU 的运行情况.
(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)
find / -name xmrig # 文件名在 CPU 运行满的最后面.
find / -name 文件名
(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)
上传 样本 进行分析,也可以根据里面的 域名 或者 IP地址 进行分析.
https://x.threatbook.com/ # 微步在线
https://www.virustotal.com/gui/ # VirusTotal(上传文件,检查木马)
https://ti.360.net/#/homepage # 360威胁平台
https://ti.nsfocus.com/ # 绿盟威胁情报平台
https://ti.dbappsecurity.com.cn/ # 安恒威胁情报平台
怎么 分析IP 地址呢!(可以查看网络连接找到IP地址的.)
其他所以排查方法:
(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)
kill 5157 # 关闭这个进程.
kill 进程数
(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)
(6)排查 定时任务.
定时定点执行Linux程序或脚本.
crontab -e # 用来创建定时任务.
crontab -l # 查看有多少个任务.
定时保存的路径有以下几个.
vi /var/spool/cron/ # 目录里的任务以用户命名.
vi /etc/crontab # 调度管理维护任务.(排查里面有没有新的添加)
vi /etc/cron.d/ # 这个目录用来存放任何要执行的crontab文件或脚本
(排查有没有新的添加文件 再和运维核对 进行排查)
vi /etc/cron.hourly # 每小时执行一次
vi /etc/cron.daily # 每天执行一次
vi /etc/cron.weekly # 每周执行一次
vi /etc/cron.monthly # 每月执行一次
(7)如果还有,可以排查开机启动项.
其他所以排查方法:应急响应:Linux 入侵排查思路.
日志分析:(随便排查出系统存在的其他隐患)
先 Web 的日志(看看是不是上传了木马),系统的日志.(看看是不是被爆破了)
(1)排查 是否存在后门.(Web网站)
使用河马的扫描工具(扫描后门木马)
chmod +x hm # 添加权限
./hm scan /var/www/html
./hm scan 指定的扫描路径.
(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.
(3)排查完进行删除所以木马文件.
日志存在:
(1)确定攻击时间.
就是后门的上传时间,在日志中找这个后门木马的文件名.(比如上面的:.bgxg.php)
(2)确定攻击特征.
文件上传.
(3)确定特征文件.
就是后门木马文件.
(4)确定攻击者IP
(5)攻击复现.
在日志中 找到木马的路径,进行测试就行.
日志不存在:
(1)黑盒测试.(对 Web 网站进行渗透测试.)
(2)查看系统服务是否存在弱口令(Redis,ssh等)
漏洞修复:
(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.
(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.
(3)定期给主机打补丁.
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
扫一扫
712
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
