总结一下处理过的多起挖矿病毒

最新推荐文章于 2024-08-16 18:41:12 发布
最新推荐文章于 2024-08-16 18:41:12 发布
阅读量216 收藏
点赞数 2
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LFY2087701967/article/details/139441437
版权

先放图,这个还只是跑了一半cpu,还能流畅操作系统,一旦cpu全跑满,就卡的不行

处理挖矿病毒最难受的莫过于杀的不彻底,反复重启,开机自启

总结起来大概从以下几方面入手:

1.利用各种工具找到挖矿进程,有时候top是看不到的,隐藏进程需要利用工具来查看

补充:查看网络连接也很重要,看有哪些外联地址,放威胁情报上

2.找到进程之后就要查看它调用了哪些文件,把样本保留下来,放到沙箱里跑一下。再具体研究病毒的行为

补充:删除病毒文件的时候一定要彻底,可以全盘搜索一遍或者使用clamav(一般般),杀进程也一定要彻底用pkill和killall  。

3.然后就要考虑他的持久化手段了,常见的定时任务,启动项,动态链接库,环境变量,隐藏文件,守护进程。

4.其他思路,防火墙禁用矿池地址,自己写脚本针对病毒特征来杀进程。

安全er
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
服务器挖矿木马识别与清理
m0_65372269的博客
12-12 1057
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
【服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 9986
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
top cpu飙高,中了挖矿程序----解决方法
风的专栏
10-09 2506
原因:solr漏洞,可升级到solr7.0以上版本,解决漏洞:http://blog.nsfocus.net/cve-2017-12629/ 解决挖矿的文章: 1、Emm,qW3xT.2(矿机进程) 2、qW3xT.2,解决挖矿病毒总结的如下: 1、top 查看飙高的进程 2、查看进程所在路径,cd /proc/pid号  ls查看cwd命令路径或find进程名   1、ll /...
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3566
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
Linux(centos7)常见安全、挖矿问题
weixin_41421314的博客
04-23 1110
centos安全配置、解决挖矿问题
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9759
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
记一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1819
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
crontab异常任务删除不了,清除挖矿病毒
06-20
crontab异常任务删除不了,清除挖矿病毒
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
HW勒索病毒挖矿事件总结模板.docx
08-23
护网HW工作总结报告
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
工控安全 勒索病毒防范 挖矿技术防范解决方案 ...总之,预防勒索病毒需要从多个方面入手,包括加强安全意识、安装防毒软件、避免下载不明来源的文件等。只有综合运用各种手段,才能有效地防范勒索病毒的威胁。
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 263
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
Connection reset by peer报错解决
m0_65307735的博客
08-16 217
Connection reset by peer报错解决
华为路由的AAA是什么?
huaqianzkh的专栏
08-14 616
华为路由的AAA是Authentication(认证)、‌Authorization(授权)和Accounting(计费)的简称,‌是一种提供认证、‌授权和计费的安全管理机制。‌AAA作为一种网络安全管理机制,‌主要提供以下功能和服务:‌认证:‌验证用户是否可以获得网络访问权,‌确定哪些用户可以访问网络。‌授权:‌授权用户可以使用哪些服务,‌即对用户赋予不同的权限,‌限制用户可以使用的服务。‌计费。
10.1 网络基础知识
yoyo勰的博客
08-14 131
了解非授权访问没有预先经过同意,就使用网络或计算机资源则被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 565
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值