渗透系列:实战分享 | 记一次挖矿病毒的溯源----6379---redis

实战分享:Redis挖矿病毒的追踪与防治过程
最新推荐文章于 2025-02-17 14:14:47 发布
最新推荐文章于 2025-02-17 14:14:47 发布
阅读量704 收藏 9
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54626591/article/details/135500205
网络安全 专栏收录该内容
218 篇文章 ¥299.90 ¥399.90
订阅专栏

实战分享 | 记一次挖矿病毒的溯源----6379---redis



实战分享 | 记一次挖矿病毒的溯源

PS:因为项目保密,部分截图为作者在本地的环境复现。

1.起因

接到客户电话,称公司web服务异常卡顿。开始认为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。然后判断是ddos攻击,查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是中了挖矿病毒。

在这里插入图片描述

2.排查可疑进程

首先发现cpu占用率过高,初步怀疑是挖矿病毒,于是上ssh开始排查
在这里插入图片描述

使用top命令查看进程占用列表,发现并没有占用过高的程序,但是查询cpu占用率确实是99%,怀疑是隐藏了linux进程。

在这里插入图片描述

猜测做了进

了解本专栏 订阅专栏 解锁全文
网页挖矿溯源?浏览器浏览历史查看工具Browsinghistoryview
不忘初心,护天下安全!
08-08 1041
BrowsingHistoryView是一款用于分析windows上浏览器访问历史的实用工具,它支持读取4种不同的Web浏览器(IE浏览器,Mozilla的火狐,谷歌Chrome和Safari)的历史数据,并显示在一个表中的所有这些Web浏览器浏览历史。浏览历史录表包括以下信息:访问过的URL,标题,访问时间,访问次数,Web浏览器和用户配置文件。...
应急响应-linux挖矿病毒实战处置
告白的博客
08-06 1419
将该文件上传沙箱检测,确定为木马程序,且为内容存在条件竞争,且调用多种终端,行为非常正常文件,在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间,同时观察到在该木马文件访问的前几次,攻击者成功访问了st2框架的.sction页面,疑似通过st2漏洞进入并植入木马,后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知,该主机通过web服务被入侵,攻击者通过st2漏洞植入木马,获取web权限后植入挖矿木马文件,并设置定时任务。
一次挖矿病毒溯源
蚁景网安学院
12-15 1915
客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是中了挖矿病毒
挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法
热门推荐
weixin_61738543的博客
04-15 1万+
前言 首先大家会打开到这篇文章,就已经说明你大概率已经被病毒所困扰了。自从byrut网站为大家提供了大部分不安全的盗版游戏资源,很多人都从这些资源中被病毒感染,并且难以靠普通的杀毒软件进行杀毒了。其中一个最让人最难受的资源,就是这个类似病毒工厂会自动生成木马一样的病毒。如果你想靠自己处理掉这些木马文件,或许我的文章所分享的经验可以帮助到你! 我并非专业查杀病毒的人员,只是一个普通的本科开发实习生,以下内容是为了简单的分享一下这类病毒的手动清理方式,还有分享发现这一病毒后的思考,以及溯源的方式与思路。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 5445
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
一个真实的应急响应案例(3)XMR挖矿病毒事件
OneMoreThink
01-23 2354
技术交流可以关注公众号 OneMoreThink 或公众号后台添加微信,欢迎提出宝贵建议。目录恶意程序排查网络排查进程排查网络进程排查所有进程排查隐藏进程排查进程资源排查文件排查时间文件排查敏感目录排查特权文件排查后门排查账号后门排查SSH账户SSH密钥条件后门排查计划任务启动项自启服务命令别名溯源排查日志分析系统日志中间件日志数据库日志安全设备日志流量分析内存分析溯源结论后续待办终止恶意进程备份...
一个真实的应急响应案例(4)algo挖矿病毒事件
OneMoreThink
01-27 1903
技术交流可以关注公众号 OneMoreThink 或后台添加微信,欢迎提出宝贵建议。目录恶意程序排查文件排查告警文件排查时间文件排查敏感目录排查特权文件排查网络排查进程排查网络进程排查所有进程排查隐藏进程排查进程资源排查后门排查账号后门排查SSH账户SSH密钥条件后门排查计划任务启动项自启服务命令别名溯源排查日志分析系统日志中间件日志数据库日志安全设备日志流量分析内存分析溯源结论后续待办终止恶意进...
网络安全之路:我的系统性渗透测试学习框架
03-19 2247
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅录本人当时学习时任然不知的相关知识。笔草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
阿里云6379端口被攻击
qq_20786911的博客
03-23 2944
使用top命令查看cpu使用率,发现使用率达98% 分别杀掉进程和守护进程
一次真实的挖矿病毒应急响应】
一纸荒芜的博客
03-25 7292
分享一起真实的挖矿病毒应急响应案例
【2025版】最新手把手病毒分析 挖矿病毒处置总结,从零基础到精通,收藏这篇就够了!
最新发布
wananxuexihu的博客
02-17 3851
我们是_
[学习录] linux服务器挖矿病毒应急响应1——PHP web安全漏洞导致
渗透为止的博客
04-12 1099
学习录——对Linux服务器上通过web漏洞感染的挖矿病毒进行应急响应
Linux(centos7)常见安全、挖矿问题
weixin_41421314的博客
04-23 1501
centos安全配置、解决挖矿问题
活跃挖矿木马盘点
m0_59598029的博客
07-30 865
挖矿木马通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算能力进行挖矿,从而获取非法收益。目前已知多个威胁组织(例如,“8220”、H2Miner等)传播挖矿木马,致使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2022年,安天CERT发布了多篇针对挖矿木马的分析报告,现将2022年典型的挖矿木马梳理形成家族概览,进行分享挖矿木马家族出现时间针对平台—||—82202017年Outlaw2018年Linux。
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 2533
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
常见端口漏洞利用总结
weixin_48900801的博客
07-28 8019
21端口渗透剖析 FTP通常用作对远程服务器进行管理,典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全,甚至黑客通过提权可以直接控制服务器。这里剖析渗透FTP服务器的几种方法。 (1)基础爆破:ftp爆破工具很多,推荐owasp的Bruter,hydra以及msf中的ftp爆破模块。 (2) ftp匿名访问:用户名:anonymous 密码:为空或者任意邮箱 (3)后门vsftpd :version 2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限。(https:
网络安全攻防渗透溯源
ta737的博客
09-18 1720
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
服务器被入侵了,溯源全过程(实战
diaobusi的博客
06-22 4017
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
挖矿木马 sustes 追踪溯源分析
h952520296的博客
09-05 7814
l  首先执行$ top命令,检查系统运行状态,此台Linux服务器的CPU利用率为732%   l  再执行$ ps aux |grep [pid]命令,定位到可疑的挖矿木马文件,位于/var/tmp/目录下   l  继续执行$ hadoopversion命令,检查Hadoop版本,当前Linux服务器上安装的Hadoop版本号为2.6.0(此版本支持认证服务,但若未开启,攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值