挖矿病毒应急响应分析

最新推荐文章于 2025-03-21 16:30:27 发布
最新推荐文章于 2025-03-21 16:30:27 发布
阅读量1.6k 收藏 2
点赞数 2
分类专栏: 内网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43147309/article/details/104921106
版权

Top发现CPU资源异常,wafmanager占用大量网络带宽:
在这里插入图片描述
作为管理员来说,首先kill它:
在这里插入图片描述
用户root运行。

  1. 查询特权用户和远程登陆的账号信息,其中r00t很可疑:
    在这里插入图片描述

  2. 查看除root外的用户权限:
    在这里插入图片描述

  3. 查看账号执行过的命令:
    R00t:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看selinux:
    在这里插入图片描述
    此时natop,natop_back,getty,getty_back已经是可疑文件,查看后,建议删除这些文件:
    Natop:
    在这里插入图片描述
    Natop_back:
    在这里插入图片描述
    Getty:
    在这里插入图片描述
    在这里插入图片描述

  4. 端口检测:
    有很多IP很可疑,PID为6251:
    在这里插入图片描述
    在这里插入图片描述
    查看下pid=6251所对应的进程文件路径:
    在这里插入图片描述

进入目录查看文件cron:
在这里插入图片描述
在这里插入图片描述
建议删除所有的cron文件
Lastb查看登入系统失败的用户,并在/var/log目录下查看btmp:
在这里插入图片描述
在这里插入图片描述
5. 猜测攻击者是怎么进入服务器内部:
定位有多少IP在爆破主机:
在这里插入图片描述
定位哪些IP在爆破:
在这里插入图片描述
在这里插入图片描述
爆破用户名的字典:
在这里插入图片描述
登陆成功的IP:
在这里插入图片描述
登陆成功的用户名,IP:
在这里插入图片描述
在这里插入图片描述
其中有2个IP很可疑,登陆次数过多,猜测服务器是被暴力破解后,攻击者登陆服务器将其设置为矿机,为其挖矿。
6. 查杀:
Rootkit查杀,病毒查杀Clamav。
在这里插入图片描述
在这里插入图片描述
技术不深,望各位大佬多多建议。

Window应急响应(四):挖矿病毒
08-05 5357
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
记一次挖矿病毒应急响应事件
MachineGunJoe666
11-10 863
应急主机排查 近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。 查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。 进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。 使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与
应急响应-勒索病毒
qq_53058639的博客
03-17 819
一种新型电脑病毒,主要以的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出"双重勒索"的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 1539
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒应急响应和防范措施进行分析和总结。
挖矿病毒应急处置
2301_77977773的博客
07-22 2285
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
挖矿病毒应急响应处置手册
最新发布
安全狐
03-21 943
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
挖矿木马应急响应
YZ22431的博客
07-22 653
2024 年 7 月 22 日,接用户反馈,局域网内一些Windows 终端设备和 Server在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查明原因,确认影响范围,删除相关病毒文件并找出感染途径,梳理时间链,从而避免下次出现相同问题。
应急响应】Windows应急响应手册(准备阶段、挖矿病毒
李火火的安全圈
07-16 1823
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
应急响应流程与挖矿病毒排查流程
three_1996的博客
03-29 884
汇总和整理事件应急全过程,提交处理报告总结事件引发的因素、制定相应的安全生产规范和制度,进行员工培训。
【记一次真实的挖矿病毒应急响应
一纸荒芜的博客
03-25 5626
分享一起真实的挖矿病毒应急响应案例
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 2640
Linux挖矿病毒应急响应
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 4185
Windows挖矿病毒应急响应
记一次挖矿病毒应急响应
weixin_45885440的博客
03-30 4055
记一次挖矿病毒应急响应
忆享科技戟星安全实验室|五分钟学会挖矿病毒应急响应
m0_61431042的博客
06-17 1059
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
xnxqwzy的博客
09-06 726
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Windows应急响应(五 挖矿病毒
weixin_43781139的博客
11-09 3760
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ​ 登录网站服务器进行排查,发现多个异常进程: 分析进程参数: w...
挖矿应急响应小结
bloodzer0
03-04 1189
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值