Windows挖矿事件应急响应

最新推荐文章于 2025-03-21 16:30:27 发布

huang0c

最新推荐文章于 2025-03-21 16:30:27 发布

阅读量900

点赞数 4

分类专栏：靶场文章标签： windows 网络安全

本文链接：https://blog.csdn.net/qq_48904485/article/details/140350078

版权

一、靶机介绍

Windows挖矿事件

前景需要：机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

挑战题解：

攻击者的IP地址

攻击者开始攻击的时间

攻击者攻击的端口

挖矿程序的md5

后门脚本的md5

矿池地址

钱包地址

攻击者是如何攻击进入的

相关账户密码：

Administrator/zgsf@123

二、解题过程

打开靶机，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重

在这里插入图片描述

进行排查，发现异常进程

在这里插入图片描述

使用下列方式查询xmrig.exe进程相关信息：

wmic process where caption=”xmrig.exe” get caption,commandline /value

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

huang0c

关注关注

4
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

【应急响应】Windows应急响应手册（准备阶段、挖矿病毒）

李火火的安全圈

07-16

1755

本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段，以多方面、多维度进行展开，对于常见的应急事件所采取的应对措施进行阐述，希望对从事网安工作的小伙伴们有所帮助！

应急响应靶机——Windows挖矿事件

weixin_73049307的博客

11-30

1530

发现登录进去就弹出终端界面，自动运行powshell命令，看来存在计划任务，自动下载了一些文件，之后就主动结束退出终端界面了。很明显，就是个挖矿程序，md5值：6D68D914CE545056F383C47A444CEAF8。攻击者开始攻击的时间：2024-05-21 20:25:22。攻击者的ip地址：192.168.115.131。一眼就看到挖矿程序，输入一下所谓的钱包地址。矿池地址(仅域名)：c3pool.org。得知远程桌面服务开启，且端口是3389。攻击者是如何攻击进入的：暴力破解。

参与评论您还未登录，请先登录后发表或查看评论

应急响应靶机-挖矿事件（知攻善防实验室）

qq_42421872的博客

11-19

2306

回到挖矿软件那边我们看到config.json,然后我们打开，发现了矿机的url：c3pool.org。首先打开靶场，发现他没有VMware tools，直接装一下，这样方便，就不用在远程连接了。根据从攻击者通过暴力破解密码为开端进行了一系列的操作，由此我们可以得出攻击者是通过暴力破解。由于他的攻击ip就是对我们3389端口进行账号密码的爆破，所以攻击者攻击的端口是3389。然后我们开始看事件ID为4625的事件（id4625是登录失败的）我们首先打开事件查看器，从里面选择windows日志中的安全。

应急响应靶机练习-WindowsServer挖矿

m0_74631795的博客

03-16

1057

如果存在挖矿程序，cpu、gpu、内存啥的使用率会比较高，crtl+shift+esc打开任务管理器查看使用情况，发现存在一个程序占用内存较多（ps:这个的占用情况跟设置的虚拟机配置有关，关注相对占比即可，无需关注绝对占比）吐槽：这个程序如果输入一次错误，直接退出了，又得重新从头输入一遍，还是MD5需要输入大写，也没有明确的提示。没有发现该服务器存在web服务，可能是通过rdp远程登录进来的，需要查看日志确认。（ps：20:17分的记录没看到 ip，应该不是破解的日志，要看25分的记录）

记·Windows挖矿病毒应急响应

chongya927的博客

02-28

4053

Windows挖矿病毒应急响应

应急响应靶机训练-挖矿事件

weixin_58609150的博客

11-03

1267

机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。靶机账号密码。

应急响应靶场（近源渗透OS-1、挖矿事件）

weixin_64815500的博客

06-18

2096

知攻善防公众号应急相应靶场练习之近源渗透os-1以及挖矿事件的题解随笔

应急响应实战笔记——Windows实战篇：⑥ 挖矿病毒（二）

君逍遥o

04-07

940

作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。

挖矿病毒应急响应处置手册

最新发布

安全狐

03-21

873

通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下：服务器或PC访问过不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序，而不受信任的来源主要是：第三方情报结构，企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务，并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。

挖矿木马应急响应

YZ22431的博客

07-22

633

2024 年 7 月 22 日，接用户反馈，局域网内一些Windows 终端设备和 Server在运行一段时间后出现莫名卡顿，怀疑内网感染了挖矿病毒。客户要求查明原因，确认影响范围，删除相关病毒文件并找出感染途径，梳理时间链，从而避免下次出现相同问题。

Windows靶机应急响应（一）

流水不争先，争的是滔滔不绝

04-02

2751

Windows靶机应急响应

知攻善防应急响应靶机训练-Web1

tmyzxy1314的博客

05-17

1796

本次应急响应靶机采用的是知攻善防实验室的Web-1应急响应靶机靶机下载地址为： https://pan.quark.cn/s/4b6dffd0c51a

挖矿病毒/远控木马排查思路(Windows系统)

qq_51845659的博客

03-18

5367

挖矿病毒/远控木马排查思路（NOP Team团队发布的《Windows应急响应手册》学习笔记）

应急响应练习靶机-web1

tddkett的博客

08-18

543

前景需要：小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名、用户：administrator 密码：Zgsf@admin.com解题方法不唯一，仅供参考。

【应急响应靶场web1】

一纸荒芜的博客

03-14

6451

本文记录一下自己的靶场解题过程靶场来源：知攻善防实验室

解决windows的挖矿木马

tomatozq的专栏

06-22

1972

如何在不重装系统的情况下删除挖矿木马

[学习记录] windows server靶场挖矿病毒应急响应——3389端口弱口令爆破导致

渗透为止的博客

04-12

1513

[学习记录]对window server服务器上通过3389端口弱口令爆破后上传的挖矿病毒进行应急响应

挖矿病毒处置

tlucky的博客

04-18

1226

1.登录系统，右击任务栏，查看任务管理器点击发现CPU占用满了，按CPU对进程排序结束CPU占用高的进程可以观察到结束后，进程会重新自启动。确定有父进程。转到进程详细信息看到进程名为xmrig.exe 找父进程直接使用wmic工具打开命令行 wmic process where name=‘xmrig.exe’ get caption,parentprocessid 找到父进程ID 将任务管理器按PID排序，找到父进程，查找到系统服务停用服务 ......

Chia 1.0.3版本Windows挖矿安装包发布

综上所述，ChiaSetup-1.0.3.zip文件是一个为Windows平台提供的Chia挖矿软件安装包，版本为1.0.3，该软件特别依赖于硬盘空间，并采用了与传统加密货币不同的挖矿机制。用户可以通过双击安装包中的ChiaSetup-1.0.3.exe...