164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复

最新推荐文章于 2024-04-09 14:21:26 发布
最新推荐文章于 2024-04-09 14:21:26 发布
阅读量712 收藏 4
点赞数 5
分类专栏: 小迪安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/137065309
版权

文章目录

挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。
在这里插入图片描述
在这里插入图片描述
判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。

windows 挖矿脚本

在这里插入图片描述

CPU直接拉满。

挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。

在这里插入图片描述
1、分析网络连接
在这里插入图片描述

被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。可以上传IP、域名或者程序。

在这里插入图片描述

Linux挖矿脚本(应急)

目前,服务器上被植入名为xmrig的挖矿脚本。

在这里插入图片描述
1、查找脚本文件路径

find / -name xmrig

在这里插入图片描述
发现了两个路径。
在这里插入图片描述

记录挖矿脚本存在的时间。

在这里插入图片描述

挖矿脚本比较攻击端口服务(口令爆破)、未授权访问(Redis)。

2、明确服务器上开放了哪些服务,大致判断入侵者从哪儿攻进来的。这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。谁访问谁就是入侵者。
在这里插入图片描述
linux中,文件名前面有一个点代表隐藏文件。

隐藏后门(隐藏的脚本文件)很可能就是入侵者留下的后门。

3、清理挖矿脚本

kill xxx # kill进程

挖矿病毒一般都附带权限维持,就是重启之后依然执行。重启后依然执行的方式有:启动项、计时任务。

计时任务,crontab命令或者/var/spool/cron/crontabs
在这里插入图片描述
删权限维持的脚本,kill进程,删源文件

挖矿脚本逻辑:写计时任务、

pkill -f删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。pkill -f后面的全是已知的挖矿病毒名称。
在这里插入图片描述

Windows挖矿脚本(应急)

情景:服务器疑似被入侵,风扇噪音很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
在这里插入图片描述

1、检测服务情况
2、查看计划任务
在这里插入图片描述
3、日志排查
在这里插入图片描述
windows日志—安全:主要涉及用户登录方面的日志记录;

PT_silver
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
应急响应挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 2100
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
凶残的挖矿脚本,奴役我数千机器!
weixin_39787242的博客
08-09 1万+
本文转载自不正经程序员 温馨提示:本文中出现的命令和脚本,不要在自家服务器上随便运行,除非你知道自己在做什么。 挖矿是把机器当作奴隶,一刻不停歇的去计算、运转,本质上是个无用的工作。但可惜的是,它能赚钱。用别人的机器去赚钱,更是很多人梦寐以求的,所以挖矿脚本屡禁不止。 有钱的地方,就有技术。但反过来并不一定成立。 牢记这个准则,就能够心平气和的学习新技术,而不是气急败坏的纠结为啥没钱。 1. 脚本从哪来? 下面是一个http的报文。 GET /console/images/%2E%2E%2F
Redis未授权漏洞复现,利用其实现的挖矿蠕虫脚本分析
qq_53689523的博客
05-05 810
Redis未授权漏洞复现 挖矿蠕虫脚本分析 恶意代码分析实例
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 3750
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
挖矿病毒/远控木马排查思路(Windows系统)
qq_51845659的博客
03-18 1465
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)
文件对比 Beyond Compare v4.2.9 (build 23626) for Win&Mac&Linux.txt
09-30
Beyond Compare 是一套非常实用的文件文件夹比较软件,不仅可以快速比较出两个文件夹的不同之处,还可以详细的比较文件之间的内容差异。程序内建了文件浏览器,方便您对文件文件夹、压缩包、FTP网站之间的差异...
XML&JSON 目标检测、实例分割标签转换给yolo用脚本
12-27
YOLOv8 Dataset Converter 是一个为目标检测和实例分割任务设计的强大工具。它能够将XML和JSON格式的标注文件高效地转换为适用于YOLOv8模型的格式。这个工具是为那些寻求简化其数据预处理工作流程的计算机视觉研究...
shell脚本实现实时检测文件变更
09-15
本文主要讲解如何使用Shell脚本来实现实时检测文件变更,并在文件发生变化时执行相应的操作,例如在Web开发中,当Python源代码或模板文件更新时自动重启uWSGI服务。这种方法可以避免手动频繁地重启服务,提高开发...
EVE 采矿脚本
02-18
使用TC 语言开发的
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
最新发布
siu~
04-09 334
挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
一次完美彻底的挖矿病毒清理记录,快学起来
qq_42483521的博客
02-09 6369
文章记录服务器中挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1516
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复
m0_65842464的博客
01-25 682
Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner。
记一次挖矿脚本应急排查
今天是几号的博客
12-19 1714
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
记一次排查服务器被挖矿记录
weixin_44003119的博客
11-20 1921
背景 服务器是在本地,通过云服务器透传访问的 前面已经出现几次被挖矿,导致模型训练很慢,以前仅仅kill完事 以前用的别人的号,今天发现用我的我账号在搞,有点生气 下面仅记录 找+删 执行文件,为何被侵入还没懂 情况及处理步骤 显卡被占用 输入 watch -d -n 1 nvidia-smi 发现有程序将GPU占用100%(正常人写的模型很难一直100%吧,总要跟磁盘、CPU交互,暂停GPU) 查询执行用户 输入 ps -ef | grep 20453 下面是我找到文件后,重新执行,复现的,pi
shell脚本的&&
09-06
在shell脚本中,&&符号用于表示逻辑与操作。它的作用是在前一个命令成功执行(返回值为0)的情况下,才会执行后面的命令。如果前一个命令失败(返回值非0),则后面的命令将不会执行。这个符号在shell脚本中经常用于条件判断和流程控制,可以确保命令的顺序执行和依赖关系。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Shell脚本编程100例](https://download.csdn.net/download/u013561552/74703087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [shell命令执行顺序控制(&&、||、()、{}用法)](https://blog.csdn.net/qq_33215865/article/details/87341295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值