Linux应急响应之挖矿篇

最新推荐文章于 2024-05-21 10:23:42 发布
最新推荐文章于 2024-05-21 10:23:42 发布
阅读量1.1k 收藏 5
点赞数 1
分类专栏: 应急响应 文章标签: 应急响应 挖矿 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42671480/article/details/90372006
版权

Linux应急响应之挖矿篇
Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢?

首先了解一下什么是挖矿
每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的值需要进行上万亿次的哈希运算,这个过程需要大量的算力,于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿。
我的理解
比特币系统出了一道计算题,这是一个复杂的随机的方程式,谁能求得解便可以得到比特币。而求解的过程是十分耗费CPU的,所以黑客便利用别人的计算机进行求解,而出现了挖矿木马。

挖矿木马

攻击者首先通过漏洞获得主机控制权后,将挖矿木马放在远程主机上,通过wget或curl直接下载远程挖矿进程部署脚本,执行脚本进行挖矿进程的部署、隐藏、持久化和痕迹清除等工作。挖矿木马一般具有横向传播作用,所以随着一台主机的沦陷,就是一个内网的沦陷。

被挖矿后有哪些特征?
1.CPU飙升
2.无故重启
3.卡顿

挖矿木马功能总结

  1. 下载远程挖矿木马

  2. 清除本机中可能存在的其他挖矿进程

  3. 生成特征文件避免重复感染

  4. 收集

最低0.47元/天 解锁文章
dearcloud
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 1903
Linux挖矿病毒应急响应
挖矿应急响应小结
bloodzer0
03-04 1018
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
Linux应急响应
最新发布
weixin_64312503的博客
05-21 89
上一文章主要介绍了windows应急响应的基础技术分析能力,那么本章继续对linux操作系统中应急响应的基础技术分析能力做一下介绍,希望能对有需要的同学有帮助。以上便是我对linux系统中应急响应过程中常用的一些功能和分析方法,从10个方面进行了描述。当然往往一些安全事件的复杂性可能超出了这些范围,但是当我们将基础的一些思路和方法都掌握了,对于一些变化上的分析灵活运用和实操便可。文章转载至:奇安信攻防社区-Linux应急响应 (butian.net)
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1559
记一次Liunx挖矿应急处置流程
Linux挖矿病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7226
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备挖矿病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
蓝队-应急响应01-挖矿事件应急处置
jklove9的博客
02-08 1051
通常情况下会通过未授权访问漏洞,弱口令(口令爆破)等方式,具体是什么方式,还需要看被入侵的服务器具体开放了哪些端口或者服务?挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。经过上述分析,基本确认是挖矿,确认挖矿之后,需要进一步探究挖矿程序是如何被上传?挖矿程序通常会有相应的配置文件,如下config.json所示,可以看到钱包地址,挖矿域名等。依据挖矿程序,全盘搜索,发现下述两个路径均存在挖矿程序。
云主机被挖矿的应急脚本
dingnechai0676的博客
09-15 159
  当云主机被挖矿之后,一般都不能很快清除挖矿程序,而这时你的云主机cpu占用率会一直居高不下,为避免主机被锁定可先用这个脚本杀死挖矿程序,然后再来慢慢排查问题。 脚本内容: #!/bin/bash # This script is used to kill progress which having abnormal occupancy rate of CPU, # I ...
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
记一次挖矿病毒的应急响应
weixin_45885440的博客
03-30 2623
记一次挖矿病毒的应急响应
应急响应系列之OA被入侵挖矿分析报告
weixin_30555515的博客
06-21 271
一 基本情况 1.1 简要 此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这文章作为这一系列的开端。 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0...
应急响应挖矿木马应急响应指南
大河之犬的博客
04-20 1823
大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程。在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系统建议先下线隔离,再做排查。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名, 只要是 CPU 占用率较高的进程都要逐一排查。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。在用户 home 目录的。
忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
m0_61431042的博客
06-17 947
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
实战Linux应急响应踩坑与深度反思(上)
技术超强的网络安全平台
05-19 737
实战Linux应急响应踩坑与深度反思 写在前面 随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。 挖矿应急响应分析 突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。 ...
运维圣经:挖矿木马应急响应指南
qq_61553520的博客
06-14 1068
挖矿:每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的值需要进行上万亿次的哈希运算,这个过程需要大量的算力,于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿
windows应急响应
08-03
Windows应急响应是指在Windows系统遭受恶意攻击或遇到紧急情况时,采取一系列应对措施以保护系统安全和恢复正常运行的过程。在应急响应中,对Windows系统的计划任务进行分析是必不可少的一项工作。Windows的计划任务是一种方便运维人员在不同时间段对系统进行操作的功能,但也可能被黑客利用作为恶意程序的启动手段。计划任务一般存放在C:WindowsSystem32Tasks、C:WindowsSysWOW64Tasks以及C:Windows asks等目录下。通过打开任务计划程序(运行->taskschd.msc),可以查看和管理计划任务。[1] 在进行Windows应急响应时,可以参考一些链接和工具来进行入侵排查和系统安全防御加固。例如,可以参考链接https://www.jianshu.com/p/9fd6edf08115、https://blog.csdn.net/u012207466/article/details/91490249和https://blog.csdn.net/weixin_34261739/article/details/91563301,了解更多关于Windows入侵排查和系统安全防御的方法。此外,还可以使用一些病毒分析工具,如PCHunter、火绒剑、Process Explorer、processhacker、autoruns、OTL和SysInspector等,来进行系统分析和病毒检测。[3] 总之,Windows应急响应是一项重要的工作,需要对计划任务进行分析,并采取相应的措施来保护系统安全和恢复正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值