Window应急响应(四):挖矿病毒

已于 2023-04-29 18:32:44 修改
阅读量5k 收藏 3
点赞数 2
分类专栏: 【应急响应实战笔记】 文章标签: 安全
于 2018-08-05 15:17:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/81437395
版权

0x00 前言

​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。

0x01 应急场景

​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。

0x02 事件分析

​ 登录网站服务器进行排查,发现多个异常进程:

分析进程参数:

wmic process get caption,commandline /value >> tmp.txt

TIPS:

在windows下查看某个运行程序(或进程)的命令行参数
使用下面的命令:
wmic process get caption,commandline /value
了解本专栏 订阅专栏 解锁全文
Bypass--
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
windows端口占用排查.zip
12-24
windows排查端口占用问题,一键杀死端口工具。
Windows内存泄漏排查工具
07-18
LeakDiag和LDGrapher,windows内存泄漏排查工具,用于进行一些泄漏位置的查找以及可视化展示。
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
03-20 593
最近(2018.12)阿里云服务器给我发报警短信,提示服务器:进程异常行为-可疑Host访问行为,但因为只是一个自己玩玩的服务器,有时一尽快也没当回事,试着访问了服务器还都正常,后来甚至有报警:恶意进程(云查杀)-挖矿程序,这有一天有空就上来看看,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的东西到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Windows进程排查辅助工具
10-19
Windows进程排查辅助工具 Windows桌面查看所有进程 Procexp是一套功能齐全的进程信息管理工具,它使用图形界面显示(GUI),可以把它看做是Windows平台上taskmgr.exe任务管理器的扩展,事实上它完全足以代替taskmgr。
Windows操作系统安全及入侵排查
09-30
本PPT介绍: 1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理、功能优化、文件管理、远程访问控制防护、日志审计。课程以Windows server 2008为例,根据上述八大方面提供了详尽的配置操作及说明。 2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4363
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
应急响应挖矿病毒与勒索病毒
剁椒鱼头没剁椒的博客
10-31 840
个人理解,大佬就别喷了,了解一下就可以了,真正遇到这些问题的时候,有时候也不一定能够解决,最终都有可能回归到重装系统上面。包括说什么装杀毒软件、打补丁、升级系统,这些都应该是再事件发生前做的工作,而不是发生后做的工作,如果这些工作在事件发生前就做好的话,大概率也不会被这些病毒感染。
服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 8216
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
window:导出jsdom窗口对象
02-06
窗口 导出窗口对象。 导出jsdom窗口对象。 这对于使浏览器模块能够在Node.js中运行或在任何Node.js测试框架中...const Window = require ( 'window' ) ; const window = new Window ( ) ; const div = window . docum
ASIO Window Media Player Plugin:Windows Media Player的ASIO输出插件-开源
05-10
ASIOWmpPlg是Windows Media Player插件,可通过用户可选的ASIO设备播放传入的音频。 Windows Media Center应用程序也受支持。
Window勒索病毒防御方案
04-17
Window勒索病毒防御方案
zoom-window:缩放窗口
02-05
zoom-window:缩放窗口
Windows日志里发现入侵痕迹
热门推荐
12-14 4万+
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系...
推荐 | 10个好用的Web日志安全分析工具
06-27 4万+
10个好用的Web日志安全分析工具 经常听到有朋友问,有没有比较好用的web日志安全分析工具?首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 1、360星图一款非常好用的网站访问日...
如何在百万行代码中发现隐藏的后门
04-13 2万+
试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有99....
dev_get_window( : : : WindowHandle)算子
06-07
dev_get_window是HALCON中用于获取当前绘图上下文句柄的算子,它可以获取当前正在操作的图像显示窗口的上下文句柄。 具体来说,dev_get_window算子可以通过以下参数进行调用: - WindowHandle:输出的图像显示窗口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值