3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复

已于 2024-01-26 16:52:55 修改
阅读量682 收藏 10
点赞数 17
分类专栏: 应急响应-蓝队 文章标签: 网络安全 系统安全 安全威胁分析 web安全
于 2024-01-25 21:53:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65842464/article/details/135842299
版权

前言:

样本定性威胁情报分析平台:

        Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner

1、Linux系统挖矿病毒脚本检测与清除

(1)、linux系统执行top命令,查看cpu占用爆满,xmrig疑似挖矿病毒脚本

(2)、通过执行命令: find / -name xmrig  找到挖矿脚本的位置,分析脚本文件内容,直接判断或者找到远程url地址,放到奇安信情报威胁中心检测或微步线上分析可以证实为矿池 

 (3)、由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成,所以要继续排查定时任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可

1.检查定时任务
crontab -l            列出当前用户的所有定时任务
crontab -u root -l    查看root 用户的任务计划
ls /etc/cron*         使用正则的*筛选出cron开头的文件
crontab -e            编辑定时任务配置文件

2.启动项排查
cat /etc/init.d/rc.local  查看init.d文件夹下的rc.local文件内容
cat /etc/rc.local
ls -alt /etc/init.d
netstat -antlp|more       查看网络连接信息

3.映像劫持检查:
lsmod | grep -v "^Module"    查看是否加载可疑模块
ps aux | less                查看是否开启非系统进程

4.对于隐藏进程的排查
ps -ef| awk '{print}' |sort -n|uniq >1
ls /proc |sort -n|uniq >2
diff 1 2

 (4)、由于黑客能上传挖矿病毒,肯定是找到了Web程序的上传漏洞或者已经拿到了服务器权限,所以最终还需要分析黑客通过哪种途径上传的病毒,以及是否遗留后门,如果是Web程序上传漏洞则需修复漏洞,如果是被拿到了服务器权限,则对SSH弱口令,远程代码执行漏洞,遗留后门等重点排查

2、Windows系统挖矿病毒脚本检测与清除 

 (1)、通过任务管理器可以找到占用大量CPU的可疑进程,强制关闭进程

 (2)、由于挖矿病毒通常会做权限维持,关闭进程后又会启动,重点检查自启动项,计划任务,映像劫持的进程

检查自启动项目录:

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

检查计划任务:  计算机管理->任务计划程序库->查看和修改删除记时任务

 检查映像劫持:

远程登录协议爆破登录,日志检查 :

ssh(命令)  端口号22  (加密传输)
远程桌面RDP(图形界面)  端口号3389

++⁠⁠
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LINUX 常见性清除脚本,临时抱佛脚的
80后大叔爱学习
03-19 593
#!/bin/bash chattr -ia /root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDIt/0OkmcUUxrIzRrkuiG26zkLWQpvT91P/uehmMYYUdA3+WQCcgw/IKp+/RkUwUTkiAbz26cFfATHrgy9RyTOKMquoMSQqWKZtcH90S59ootbvRqdEDcoPRC8OeabRAZCj7eNWPFxKvfZbxWHRdZioavzTWx8Cor
病毒检测脚本
Neko的博客
03-19 1167
#!/bin/bash #需要root权限 echo "Linux安全检查与应急响应工具" echo "Version:1.3" echo "Author:Daily" echo "Date:2020-11-11" dos2unix buying.sh date=$(date +%Y%m%d-%H%M%S) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/
164、应急响应——脚本检测指南&样本定性&文件清楚&入口修复
最新发布
qq_55202378的博客
03-27 715
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型脚本,它会杀死其他病毒的进程。脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入脚本,最重要的是看CPU和GPU占用情况。记录脚本存在的时间。
应急响应--164天:脚本检测,威胁情报
wuqingsix的博客
02-14 371
记录病毒在文件夹出现的时间,重要病毒线索特征,将文件放到奇安信威胁情报中心,微步在线进行上传查杀确认。kill掉进程 病毒会在每次启动时继续运行(防止重启) 查看计时任务;运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比。或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)服务器管理器---事件查看器---windows日志---安全 (查看登录记录)cpu---javs.exe(病毒程序)
记一次脚本应急排查
今天是几号的博客
12-19 1717
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
服务器中了病毒检测及删除方法(如dhpcd,kdevtmpfs等)
热门推荐
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了病毒,该病毒占满cpu进行,导致系统缓慢。 现将清除病毒的步骤梳理如下: 1. 检测服务器是否有病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
记一个真实的应急响应案例(2)病毒事件
OneMoreThink
12-03 302
登录服务器时,发现密码错误,无法登录。打算登录云管平台重置密码,不小心看到安全告警,原来是中了病毒病毒的侵入性还是蛮大的,一般都会终止掉CPU占用超过20%的进程,以免计算资源不够,这常常导致正常业务被中断。而改掉登录密码,一般是为了避免友商(其它病毒)通过口令爆破进来抢夺计算资源,这常常导致正常运维工作无法开展,也就是本文出现的情况。 重置密码竟然需要重启服务器,看来第一...
libgcc-a木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
第75天:应急响应-数据库&漏洞口令检索&应急取证箱1
08-03
1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作, 2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3
BAT批处理脚本-文件相关操作-文件创建&改名等操作.zip
12-26
为避免误触发,有些改为了txt格式,使用时请自行查看业务然后改为bat格式即可。
论文研究-基于攻击树的脚本病毒样本分析方法.pdf
07-23
在研究攻击树分析方法和脚本病毒原理的基础上,提出了一种基于攻击树的脚本病毒样本分析方法。结合一个脚本病毒的实例,深层分析病毒的传播、隐藏和破坏行为,进而生成了相应的对策,提高了病毒样本分析的效率,对...
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升...CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p443 <host>
病毒排查并清除
zm96309的博客
02-28 4579
近期,公司内网linux环境出现了病毒,该病毒占满cpu进行,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
服务器中了病毒检测及删除方法
penriver的博客
12-13 8325
本文提供了服务器中了病毒检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了病毒,该病毒占满cpu进行,导致系统缓慢。
阿里云ECS遭程序攻击解决方法(彻底清除程序,顺便下载了程序的脚本
zzf1510711060的博客
10-11 1万+
一:杀死程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
记一次Windows Server 2008 服务器被植入木马处理
a18218401470的博客
01-14 1923
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
清除 脚本 攻击
xzlAwin的博客
04-24 3529
清除 脚本 攻击 1.查看系统进程,是否有异常: top 发现CPU占用率200%,判定服务器已经被植入木马 2.查看异常进程是哪一个程序造成的 ls -al /proc/14618 发现恶意程序(绿色的是可执行文件)/etc/lafy 3.删除恶意程序 cd /etc rm -rf lzfy 4.发现过了一会,lzfy恶意程序再次出现,怀疑是个定时任务 查看定时任...
清除脚本 minerd
鸿仔的博客
04-14 1142
症状:cup占用率飙高 原因:这次入侵是由于redis没有设置用户名密码,没有限制访问ip导致  解决方法: ps -eopcpu,args --sort=%cpu|head    找到飙高的程序是minerd TOP查看minerd的pid kill -s 9 pid(pid的值每个服务器不同) rm -rf  /var/spool/cron/cronta
如果是在linux系统下怎么关闭恶意进程呢
03-25
在Linux系统下关闭恶意进程的方法如下: 1. 打开终端,进入命令行界面。 2. 通过命令 “ps aux” 查找到恶意进程的PID(进程号)。 3. 用命令 “kill -9 PID” 来强制终止该进程。 4. 可以使用防病毒软件或系统安全工具,扫描确认系统是否还存在其他恶意软件。 注意:如果你不知道该进程是否为恶意软件,不要随便杀掉进程,以免影响系统的正常运行。建议通过使用杀毒软件进行检测和删除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

++⁠⁠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值