Wannamine家族挖矿病毒处置

最新推荐文章于 2024-06-04 13:38:41 发布
最新推荐文章于 2024-06-04 13:38:41 发布
阅读量2.8k 收藏 7
点赞数 2
文章标签: 网络攻击模型 web安全 安全威胁分析 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51068285/article/details/129042284
版权

wannamine挖矿病毒主要通过入侵计算机来挖取门罗币,对于它的处置建议则是:

1.首先断开受感染机器的网络连接,实行网络隔离。

2.禁用随开机启动的恶意服务,一般服务名是由三个字符串列表随机组成:Windows、Microsoft、Network、Remote、Function、Secure、Application、Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP、Service、Host、Client、Event、Manager、Helper、System,并且删除C:\Windows\System32 C:\Windows\SystemWOW64目录下与恶意服务同名的恶意模块。

3.关闭恶意服务启动的spoolsv.exe进程,关闭挖矿进程dllhost.exe,关闭漏洞攻击进程svchost.exe和spoolsv.exe(另外一个病毒文件)。

4.删除C:\Windows\NetworkDistribution目录及其所有文件,删除C:\Windows\System32C:\Windows\SysWOW64下的dllhost.exerdpkax.xsl(后缀可能是xml,log,dat,xsl,ini,tlb,msc),退出安全模式,重启计算机,等待5-10分钟,确认没有占用cpu高的进程,恶意服务已被禁用,删除的文件没有被恢复,说明已经清除干净。

5.安装补丁修复MS17-010漏洞:Microsoft 安全公告 MS17-010 - 严重 | Microsoft Learnicon-default.png?t=N176https://learn.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010?redirectedfrom=MSDN

回眸安和
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
wannamine 清理
samtaoys的博客
07-30 1041
@echo off >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" if '%errorlevel%' NEQ '0' ( goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vb
WannaMine4.0病毒应急处置
最新发布
2401_84466227的博客
06-04 1354
某日,通过流量监测设备和EDR发现挖矿请求告警,并存在长期445端口扫描。
挖矿WannaMiner挖矿概述及自查防护
我的博客
08-13 208
WannaMiner是一个非常活跃的恶意挖矿家族,曾被多个安全厂商披露和命名,包括WannaMiner,MsraMiner、HSMiner。其最早活跃于2017年9月,以使用“永恒之蓝”漏洞为攻击入口以及使用“Mimikatz”凭证窃取工具攻击服务器植入矿机,并借助PowerShell和WMI实现无文件。
WannaMine挖矿木马手工处理-NetworkDistribution
qq_42430287的博客
06-30 4189
WannaMine挖矿木马手工处理-NetworkDistribution
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
Karka_的博客
09-08 465
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
记一次挖矿病毒
zhangjianming2018的博客
04-03 151
两个顽固进程,杀掉后 又出现 并且更换了PID。 查看这两个进程关联的文件,试图找出被感染的文件 发现与 RabbitMq 有关系。
WannaMineRemover:WannaMine的修复脚本
03-05
"WannaMineRemover" 是一个专门针对 "WannaMine" 病毒的清除工具。WannaMine 是一种恶意软件,它利用了计算机系统中的漏洞,特别是那些未更新或未受保护的系统,以进行加密货币挖掘活动。这种恶意软件通常会消耗大量...
2020 年网络安全应急响应分析报告.pdf
01-28
2020 年网络安全应急响应分析报告.pdf
征文|李琪志:终端安全实践.pdf
09-18
曾经就有访客电脑携带WannaMine病毒,对内部网络造成威胁。 3. 员工自由度高:员工对自由使用的追求与企业安全管理之间的平衡是个挑战。过于严格的管控可能导致员工不满,而过于宽松的环境则可能给安全留下空隙。 ...
瑞星“永恒之蓝”(wannacry)免疫工具+专杀 2.0
05-15
瑞星“永恒之蓝”(wannacry)免疫工具+专杀 2.0
linux 处理挖矿
an74520的专栏
04-07 1336
查看crontab watch crontab -l 发现有定时脚本 以下是脚本内容 删除crontab挖矿脚本配置,并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.
常见的挖矿程序处理方式
weixin_30593443的博客
09-28 1453
这个是笔者前些天帮助朋友处理的挖矿的程序脚本,本次没有写具体处理方式,写的处理过程的思路和方法,如果你有好的方法可以一起分享学习,Thankyou! 1.服务器怎么会中挖矿木马程序 肉鸡 弱口令 webshell xss 软件漏洞bug redis zk mysql 0day等造成服务器被扫描并且提权 2 首先遇到这样情况,我们杀掉挖矿的程序它会自己起来 没清理干净 定时任...
应急响应流程以及入侵排查
renyizou的博客
01-14 5657
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
挖矿木马和后门植入的渗透测试及应急响应项目writeup
m0_64133638的博客
07-15 1891
近年来,加密货币的迅速发展,也催生了一种全新的黑产——挖矿木马。挖矿木马源于数字货币,利用挖矿程序获取数字货币利益。随着比特币等数字货 币交易价格的不断攀高,各类挖矿木马的身价水涨船高,数量也急剧增加。一旦设备被入侵并被植入了挖矿木马,那便成了黑客的敛财工具。因此在短 短几年内就催生出一大批的挖矿木马家族,与之一起增加的还有对各个平台设备 的大量攻击。
阿里云服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法
王天泽的博客
08-28 1万+
1.查看进程# ps -e -o 'pid,comm,args,pcpu,rsz,vsz,stime,user,uid'找出CPU占有率高的你不认识的进程,我的是这样的bashd -a cryptonight -o stratum+tcp://pool.minexmr.com:5555 -u 4AUF3pa干掉它kill -9 111102.全局搜索这个进程[root@wangtianze ~]#
记录一次服务器被挖矿病毒入侵解决办法
a546835886的博客
05-26 1568
1. 昨天发现服务器CPU资源使用率一直100%,我都惊讶了,topyikan有个bash64脚本一直运行,但是kill不掉,文件也删不了,后来百度了一圈终于发现是被挖矿了。。。 2. 定位挖矿就好解决了,查到一篇文章说修改SELINUX,强制访问控制(MAC)安全系统,还真塌麻好使, SELINUX有「disabled」「permissive」,「enforcing」3种选择。 disabled就不用说了 permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把
nmap端口嗅探定位特定勒索病毒
Javachichi的博客
04-19 259
WannaMine病毒伴随WannaCry勒索病毒在很多医疗系统被发现,由于该病毒会启用一个不常用的端口26931,所以可以利用nmap端口探测方式进行病毒定位,利用nmap工具探测445、26931端口,如果这两个端口同时开放,那么该终端基本可判定WannaMine病毒。从扫描的结果中筛选出开启了445和26931端口的计算机,在过滤框中输入:op:26931,445如果这两个端口都开放,基本可以判定中毒。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。需要的话可以点击**
阿里云服务器被挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值