XXX客户挖矿应急响应

最新推荐文章于 2024-08-22 21:45:58 发布
最新推荐文章于 2024-08-22 21:45:58 发布
阅读量511 收藏 1
点赞数
分类专栏: 应急响应 文章标签: 系统安全 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/129958069
版权

此次为真实客户案例!

0x01 前言:

        同事反馈,有客户设备告警连接挖矿域名。

0x02 事件分析:

登录设备TOP:

CPU巨高!!查。

定位进程:

通过netstat -anop 查看可疑进程:

通过netstat -anop | grep 28564 查看对应进程: 

通过ps aux| grep 28564  查看对应进程路径:(很奇怪,查不到进程路径) 

 运行用户:root;占用CPU:776%;占用内存:3.6%;

ls /proc/28564

cwd~~进程运行目录;

exe~~执行程序的绝对路径;

cmdline~~程序运行时输入的命令行命令;

environ~~记录了进程运行时的环境变量;

fd~~目录下是进程打开或使用的文件的符号连接;

路径:/usr/local/games/.cache/stakubuntunew/system

进入/usr/local/games/.cache/ 查看文件

run(启动文件)、stak3/stakcentosold/stakubuntunew(木马病毒)、upd(保护文件)

查看挖矿文件:

        run文件内容:(运行文件)

        upd文件内容:(保护文件)

查看计划任务:(无计划任务)

结束进程:

        kill -9 28564

删除挖矿文件:

      rm -rf .cache

查看TOP:

0x03 总结:

        比较幸运,主要这个攻击者没有计划任务,也没啥子进程,比较好清理。要不然又要头大。

Evan Kang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应】Windows应急响应手册(准备阶段、挖矿病毒)
做自己喜欢的事,并将其发挥到极致!
07-16 767
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
Linux文件恢复 freebuf,Linux挖矿病毒的清除与分析
weixin_42315537的博客
04-30 212
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:xuing,本文属于FreeBuf原创奖励计划,未经许可禁止转载起因舍友在宿舍喊着,这服务器好卡啊,难受啊!我调侃他是不是被挖矿了,top命令看一下CPU占用。一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。看来被挖矿...
记一次云服务器挖矿病毒处理过程
Jach1n
02-01 293
记一次云服务器挖矿病毒处理过程
2023陇剑杯答题笔记(更新中)
Mad Soycat的博客
03-14 1139
打开流量包,按照时间顺序可以推测192.168.162.180为服务器ip,192.168.162.188为客户机ip。于是首先过滤出服务器响应的部分可以使用过滤器输入命令,表示过滤出目标ip为188的SYN-ACK包。这是由于TCP三次握手中,服务端会返回SYN-ACK包完成过滤后检查数据包,可以看到Src Port就是服务器开放端口全部检查后发现总共三个:80, 888和8888,就是最后的答案。
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 2489
Windows挖矿病毒应急响应
应急响应常用命令
2301_76786857的博客
12-21 1717
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
记一次挖矿脚本应急排查
今天是几号的博客
12-19 2003
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
挖矿病毒应急处置
2301_77977773的博客
07-22 1390
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
应急响应挖矿
carrot11223的博客
02-27 268
如果服务器上没有开放web服务,如果开放了其他服务,比如远程3389开放,这个时候就可以查看计算机管理/安全/日志 进行查看审核成功/失败的时间节点,如果远程登录成功了,就会显示审核成功,如果失败,就会显示审核失败,如果出现大量审核失败,则说明一直在爆破账号密码。挖矿挖矿脚本挖掘,在这一个同级目录中,会存在一个配置文件,里面有挖矿的地址,钱包的地址等,将这个挖矿的远程服务器地址放到威胁情报中去分析,可能会分析出矿池之类的字眼。挖矿主要依靠GPU挖掘,挖掘的是虚拟币,需要获取服务器权限。
xxx应急响应实施方案.doc
05-12
应急响应实施方案 一、信息安全防护意识和水平提高 本实施方案旨在提高信息安全防护意识和水平,加强信息系统安全体系建设,积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,...
某大厂应急响应事件标准处理流程
01-30
在提交报告阶段,需要根据整个事件情况写《XXX 安全事件应急响应报告》,文档中描述整个安全事件的现象、处理过程、处理结果、事件原因分析,并给出相应的安全建议。 结束跟踪阶段: 在结束跟踪阶段,将继续跟踪...
XXX大气应急响应预案.pdf
11-06
此文档是关于XXX企业应对重污染天气的大气应急响应预案,涉及到环境保护、生产管理和应急机制等多方面内容。预案的核心目标是确保在重污染天气条件下,企业能够迅速响应,降低大气污染物排放,以配合国家和地方的...
深圳市XXX信息安全应急响应体系建设.docx
10-30
深圳市XXX信息安全应急响应体系建设是针对信息化环境中可能遇到的安全事件,为确保信息系统的稳定运行和数据安全,采取的一系列预防、预警、响应与恢复措施。这一体系建设涵盖了多个层面,旨在提高组织应对信息安全...
九、 系统安全(考点篇)试题
辣香牛肉面的博客
08-22 909
在Land 攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时 将导致接受服务器向它自己的地址发送 SYN一 ACK消息,结果这个地址又发回 ACK消息并创建一个 空连接,每一个这样的连接都将保留直到超时掉。选B,信息完整性是授权的可以操作,还得识别是否被篡改,破坏完整性得阻断授权者修改,篡改信息;,AD都是安全的,HTTPS也是加密的安全的(网页登录邮箱)、C虽然是扩展了电子邮件标准(比如可以传图片甚至声音视频等),但是并不安全,他需要 S/MIME才安全
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8416
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 919
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-25
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
JAVA版基于netty的物联网高并发智能网关
最新发布
08-25
JAVA版基于netty的物联网高并发智能网关
应急响应:Linux下的关键命令解析
"应急响应网络安全领域的重要环节,主要应对各类安全事件,如钓鱼邮件、Webshell、爆破和中毒等。在应急响应过程中,主要包括收集信息、判断事件类型、控制损失范围、分析研判、处置问题以及最后的报告输出。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值