记一次云服务器挖矿病毒处理过程

已于 2023-02-12 11:05:43 修改
阅读量293 收藏
点赞数
分类专栏: 应急响应 文章标签: 应急响应 xmrig skypool
于 2023-02-01 17:48:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44605964/article/details/128837775
版权

说明

本文章转自我的51cto博客,图片上有51cto的水印,现在准备移至csdn
在这里插入图片描述

背景

这个服务器是自己搭建靶场用的,处置流程只供参考

某天突然收到条阿里云安全中心的短信,说发现有挖矿程序

上控制台看了下,嗯不错,热乎的还是
在这里插入图片描述

ip我就不打码了,是开放在公网的sqli-lab和dvwa靶场,中招应该很正常

顺势锻炼一下我这个新人的主机安全检查的能力

top一下,发现xmrig(门罗币)进程吃了98.7%的cpu
在这里插入图片描述

不着急结束进程,先看看能不能查到什么信息

看了下计划任务启动程序登录记录,没发现什么异常
在这里插入图片描述

top的时候看到xmrig的pid为14518,顺着pid找下路径,可以看到这个执行程序的绝对路径,看样子是docker容器的路径

cd /proc/14518
ls -lah

在这里插入图片描述

切到这个路径下,发现挖矿程序
在这里插入图片描述

看下config.json,skypool.org天池矿池
在这里插入图片描述

看下其他的这几个文件
一定是热爱学习的网安人来练习靶场了
在这里插入图片描述
在这里插入图片描述

结论

这个路径就是dvwa靶场的docker容器的路径,应该就是从靶场里的文件上传部分上传进来的

Jach1n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXX客户挖矿应急响应
热爱学习,喜欢折腾!
04-05 511
应急响应处置案例
【实战】一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1567
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
一次服务器被挖矿病毒感染的排查过程(pnscan、xmrigMiner)
qq_41543905的博客
04-04 331
挖矿病毒攻击
Linux文件恢复 freebuf,Linux挖矿病毒的清除与分析
weixin_42315537的博客
04-30 212
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:xuing,本文属于FreeBuf原创奖励计划,未经许可禁止转载起因舍友在宿舍喊着,这服务器好卡啊,难受啊!我调侃他是不是被挖矿了,top命令看一下CPU占用。一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。看来被挖矿...
2023陇剑杯答题笔(更新中)
Mad Soycat的博客
03-14 1139
打开流量包,按照时间顺序可以推测192.168.162.180为服务器ip,192.168.162.188为客户机ip。于是首先过滤出服务器响应的部分可以使用过滤器输入命令,表示过滤出目标ip为188的SYN-ACK包。这是由于TCP三次握手中,服务端会返回SYN-ACK包完成过滤后检查数据包,可以看到Src Port就是服务器开放端口全部检查后发现总共三个:80, 888和8888,就是最后的答案。
服务器处理挖矿
天地人的博客
10-31 1474
服务器处理挖矿排查挖矿进程 排查挖矿进程 使用top查询进程: 某个进程占用cpu或内存过分,查之:如 ls -l proc/{进程号}/exe 进入目录,分析里面的文件,进入/etc下,分析如update类似的文件。 处理过程: chattr -i 文件 rm -rf 文件 如果是root用户感染的病毒: vim /etc/selinux/config 将SELINUX=disabled改为...
一次阿里云被挖矿处理
热门推荐
x1172031988的专栏
07-08 4万+
一次阿里云被挖矿处理过程
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1598
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
阿里云服务器挖矿病毒解决方法
慌途L
04-01 4499
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直高达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用很高 排查:查看CPU占用率 在服务器上使用命令:top -c 查看进程运行的信息列表 再按下大写的:P 使进程按照CPU使用率排序 类似下图(这里只做演示,非实际情况): 然后可以看到 /usr/local/lib/.libs 占用cpu过高 再接着就是杀进程(这里要排除不是自己的项目所涉及到的) 但是每次杀完之后,CPU就降了下去
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1639
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6474
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9777
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
一次服务器中了挖矿病毒的检测及删除方法
zhimeng1的博客
09-20 205
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。中间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。
服务器被挖矿后如何排查处理
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
ant-design-4.6.2.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ant-design-4.16.12.zip
最新发布
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ant-design-4.0.0-rc.2.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ssm344新生报道管理系统+jsp.zip
08-25
本新生报道管理系统有管理员,学生,负责人三个角色,管理员具有最高权限,可以管理负责人,用户,宿舍,缴费等信息,负责人主要操作新生报到关于宿舍和缴费等信息,学生如果要登录系统,必须报到后才可以进行操作。因而具有一定的实用性。本站是一个B/S模式系统,采用JSP技术和SSM框架,MySQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得高校新生入学报到信息管理工作系统化、规范化。 本系统的使用使管理人员从繁重的工作中解脱出来,实现无纸化办公,能够有效的提高高校新生入学报到信息管理效率。
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值