一次linux 【Mirai蠕虫】的应急处置

已于 2024-05-13 15:17:43 修改
阅读量778 收藏 2
点赞数 1
文章标签: 安全 linux web安全
于 2023-01-31 17:30:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beichenyyds/article/details/128820398
版权

思路:本身前面把这个蠕虫样本先运行了一下,但是后来没异常,于是就把挖矿样本也整进去,运行之后我以为是挖矿样本导致的CPU飙升,于是排查了启动项,计划任务,服务项但是都和挖矿脚本无关,排查了一个多小时把里面所有挖矿样本删除后,才进行了排查蠕虫这个东西,总之闲下来就多去复现样本,提升实践能力,以防到客户现场发现不会搞!各位一起加油!

测试机:kali、centos7

样本MD5值:4ea1def4e8cdaf1d8fdb5430cc03f1a9

测试步骤:

1、下载样本 并给样本加一个执行权限 ,运行即可。

2、运行成功之后会发现CPU使用率飙升,但没有进程名。

3、于是就去排查网络连接情况 发现存在一条异常连接,异常IP归属地为美国

4、用lsof -p +pid进程号 查询调用的文件 如图

5、于是乎 进入到这个目录下 删除文件,但是并无作用

6、那只能找服务项,启动项,计划任务项,经排查服务项存在异常,根据时间戳发现该服务异常

7、这东西不就找着了吗,这些路径目录下的文件直接删除 删除之后把进程结束掉

  

8、计划任务crontab -l  发现有定时任务,删除。

9、发现进程已经没了, cpu也恢复正常。

10、find / -name *ddns* 去查找所有相关文件,并删除。然后重启就可以了

各位大佬轻点喷,如有问题请指出,谢谢大家! 志同道合兄弟可以一起分享关于应急处置的思路

beichenyyds
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mirai机器人 linux,Mirai机器人搭建步骤
weixin_35703300的博客
05-14 2121
先贴一下资源,回头整理。安装java环境通过MiraiOK安装mirai-console,运行一次后会创建项目目录下载mirai-http-api的jar包放到2中项目里的plugins文件夹下,配置config\MiraiApiHttp\setting.yml文件里的authKey,自己随便填写即可。重启mirai-console,除了最后的报错应该没有红字,如下图mirai-console.p...
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1922
一次Liunx挖矿应急处置流程
linux蠕虫清理
05-11
文档中详细介绍了怎么检查是否存在蠕虫病毒,以及怎么清理蠕虫病毒,还详细的介绍了怎么安全加固等等。
探索Linux.Mirai:揭秘开源的恶意软件研究资源
最新发布
gitblog_00017的博客
06-07 401
探索Linux.Mirai:揭秘开源的恶意软件研究资源 项目地址:https://gitcode.com/0x27/linux.mirai 项目介绍 linux.mirai 是一个公开泄漏的 Linux 版本 Mirai 源代码库,专为研究和指标(Indicator of Compromise, IoC)开发而设立。这个项目旨在帮助安全研究员和社区成员了解 Mirai 勒索软件的工作原理,并从中开...
linux应急处置案例学习
weixin_33762130的博客
04-19 199
转载来自:https://secvul.com/topics/1142.html 1 发现网络异常通信,使用lsof命令 此处,使用lsof -i -PnR命令 2 查看到可以进程到联网行为后,使用kill命令 此处我们结束4322进程举例: 3 如果重复不能结束掉,则进入进程内存中查找字符串看看都有什么 举例:我们到进程号为7057的地方,使用命令:cd proc/7057cat * |st...
蠕虫木马Mirai
m0_49025459的博客
02-07 2006
概述概述Mirai病毒是物联网病毒的鼻祖,能够感染在 ARC 处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动 DDoS 攻击。由于Mirai病毒具备了所有僵尸网络病毒的基本功能(爆破、C&C连接、DDoS攻击),后来的许多物联网病毒都是基于Mirai源码进行更改的。攻击流程Mirai 扫描互联网上运行于 ARC 处理器上的 IoT 设备。这种处理器运行 Linux 操作系统的精简版本。
简单linux蠕虫,清除Linux系统上的蠕虫程序Ramen
weixin_39602005的博客
05-16 331
Linux系统中出现了一种称之为Ramen的蠕虫程序。它可能会入侵数千台运行RedHat6.2/7.0操作系统的服务器。Ramen利用了两个已知的Linux安全漏洞。它首先利用RPC.statd 和 wu-FTP 的漏洞扫描网络上使用 RedHat 6.2/7.0的服务器,然后尝试取得系统权限,一旦取得之后,会将一些一般的系统服务加以替换,并且将一个称之为“rootkit”的程序码植入安全漏洞中,...
linux 流量蠕虫 查杀,linux系统服务器中的蠕虫病毒怎么清除
weixin_34868242的博客
05-15 874
满意答案可以用eset的nod32进行查杀。Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。防范:防范此类病毒要堵住蠕虫病毒发作的...
linux.mirai:用于ResearchIoC开发目的的泄漏Linux.Mirai源代码
02-04
linux.mirai 泄漏Linux.Mirai研究/ IoC开发目的源代码 上传用于研究目的,因此我们可以开发IoC等。 如果您想知道所有内容的设置方式等信息,请参见“ post.txt”(在中)以了解其泄漏的信息。 小心-那里的垃圾箱...
Chikara Mirai Source.rar_LINUX__LINUX_
08-09
标题 "Chikara Mirai Source.rar_LINUX__LINUX_" 暗示了这是一个与Linux操作系统相关的源代码包,其中可能包含用于扫描僵尸网络(botnet)的工具或研究材料。"Chikara" 在日语中意为“力量”,而 "Mirai" 是一个著名...
mirai-login:一个 mirai 的带gui的登陆器。使用Electron开发
05-08
一次运行时,请点击下载mirai,下载mirai的jar包,或者自行下载jar包,放到程序目录下的<mirai>/mirai/content下。(手动点击下载,避免由于墙的原因下载失败。也可以下载完拷贝到目录) 以后点击下载mirai,会...
mirai-gatling-bot:一个整合了搜图和聊天等功能的轻量 mirai 机器人
05-03
一个整合了搜图和聊天等功能的轻量 mirai 机器人 原本是打算移植 到 mirai 框架上的,后来发现工作量实在是太太太大了! 于是就只移植了部分个人平时常用到的模块,并再退而求其次砍掉了诸如“缓存”和“指令”的...
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
m0_60571990的博客
02-25 1175
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
安全专家发现Linux蠕虫 涉及两处漏洞(转)
08-11 145
安全专家发现Linux蠕虫 涉及两处漏洞(转)[@more@]【eNet硅谷动力消息】美国东部时间2月20日(北京时间2月21日)消息:业内安全专家今日发出警告称已经发现了一种Linux系统网络蠕虫,它可以利用Mambo内容管理...
Linux服务器部署Mirai
weixin_44296539的博客
02-16 1448
Linux下部署Mirai
那些年困扰我们的Linux蠕虫、病毒和木马
weixin_34409357的博客
08-18 853
 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括,手机爆炸性的普及意味着基于Linux的安卓成为恶意黑 客最具吸引力的目标之一,以及使用Linix系统作为数据中心服务器系统的机器也在一直稳步增长。让我们一起来回顾一下吧。 Staog(1996) 首个公认的Linux恶意软件是Staog,一...
简单linux蠕虫,Linux平台ibus蠕虫C&C模块源码分析
weixin_30456235的博客
05-16 175
近期,深信服安全团队在排查问题时,遇到一台主机不断访问恶意域名linuxsrv134.xp3.biz,尝试与之通信,通过对问题主机的排查和域名的威胁情报分析,关联到了一个2019年新型Linux蠕虫——ibus,本文针对其C&C模块进行详细分析。进行第一阶段的初始化以及检测。判断/tmp/.Abe0ffdecac1a561be917bfded951a7a pid记录文件是否存在,判断是否存...
分析一个linux下的蠕虫
zou5655的专栏
12-22 1931
分析一个linux下的蠕虫出自:Max Vision 分析一个linux下的蠕虫 Max Vision 译:quack 摘安全焦点 一、简介 千年蠕虫(The Millennium Internet Worm)——后面简称worm,是一段script及程序组成的,它执行的功能是利用linux系统的某些远程漏洞,获取该系统的进入权限,并且将自身复制到其上并继续繁殖。现在发现的worm是针对x86的l
linux部署mirai
03-04
抱歉,我可以回答这个问题。Linux 部署 Mirai 可以参考以下步骤: 1. 下载 Mirai 源码并解压。 2. 安装编译工具链,如 gcc、g++、make 等。 3. 进入 Mirai 源码目录,执行 make 命令进行编译。 4. 编译完成后,进入 release 目录,执行 ./mirai 可执行文件即可启动 Mirai。 需要注意的是,Mirai 是一款开源的聊天机器人框架,使用时需要遵守相关法律法规,不得用于非法用途。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值