挖矿木马应急响应WP

于 2024-03-11 21:54:57 发布
阅读量343 收藏 5
点赞数 4
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61125086/article/details/136636446
版权

  • 一、应急响应

(演示时将木马程序删除了于是WP随缘写吧)

1. 发现异常程序

电脑风扇声音大,发现有一个javs.exe正在运行,且该程序一直在访问域名:mine.c3pool.com:13333

用微步查询可得该域名为矿池域名,于是该程序为挖矿程序

打开任务管理器发现javs程序的cpu占用率很高,打开文件位置并终止该进程

约一分钟后该进程又出现了,怀疑有计划任务

打开计划任务管理器发现有计划任务,创建人,和创建时间

删除该病毒文件,删除计划任务

2. 排查后门

Autoruns镜像劫持发现shift粘滞键后门

删除该后门

3. 排查隐藏用户

打开注册表发现存在隐藏用户

删除隐藏用户

4. 排查网络连接

命令行输入netstat -ano

网络连接正常

  • 二、溯源

  • 1.日志

1.1 日志提取(以管理员身份运行evtx)

将提取的日志文件复制粘贴到logon的data文件夹中(先清空)

运行logon的bin文件夹中的Run.bat

data文件夹中得到后缀为csv的数据文件

1.2 审查日志

代码为4625的是用户账户登录失败日志,短时间的大量失败说明有可能遭到了爆破攻击

再看4624发现失败时间后紧接着成功登录,攻击方IP为127.0.0.1

打开事件查看器查看Windows安全日志

代码4728的日志 

                 表示创建隐藏用户krroot

代码4732的日志

表示将隐藏用户krroot添加到超级管理员

再看系统日志

发现有解析挖矿域名的日志,表明此时已经植入挖矿程序并开始运行

慘綠青年627
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应篇】挖矿木马应急响应指南
大河之犬的博客
04-20 1892
大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程。在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系统建议先下线隔离,再做排查。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名, 只要是 CPU 占用率较高的进程都要逐一排查。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。在用户 home 目录的。
Window应急响应(四):挖矿病毒
08-05 5101
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
蓝队-应急响应01-挖矿事件应急处置
jklove9的博客
02-08 1193
通常情况下会通过未授权访问漏洞,弱口令(口令爆破)等方式,具体是什么方式,还需要看被入侵的服务器具体开放了哪些端口或者服务?挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。经过上述分析,基本确认是挖矿,确认挖矿之后,需要进一步探究挖矿程序是如何被上传?挖矿程序通常会有相应的配置文件,如下config.json所示,可以看到钱包地址,挖矿域名等。依据挖矿程序,全盘搜索,发现下述两个路径均存在挖矿程序。
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
应急响应--164天:挖矿脚本检测,威胁情报
wuqingsix的博客
02-14 552
记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认。kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比。或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)服务器管理器---事件查看器---windows日志---安全 (查看登录记录)cpu---javs.exe(病毒程序)
记一个真实的应急响应案例(2)挖矿病毒事件
OneMoreThink
12-03 430
登录服务器时,发现密码错误,无法登录。打算登录云管平台重置密码,不小心看到安全告警,原来是中了挖矿病毒。挖矿病毒的侵入性还是蛮大的,一般都会终止掉CPU占用超过20%的进程,以免计算资源不够挖矿,这常常导致正常业务被中断。而改掉登录密码,一般是为了避免友商(其它挖矿病毒)通过口令爆破进来抢夺计算资源,这常常导致正常运维工作无法开展,也就是本文出现的情况。 重置密码竟然需要重启服务器,看来第一...
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应
墨痕诉清风的博客
11-18 2511
记一次阿里云服务器被被种挖矿程序解决的过程。
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4763
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
图片旋转木马浏览源码WP7
04-02
一款不错的图片旋转木马浏览源码WP7,该源码WP7图片旋转木马浏览源码,源码描述:实现了图片的旋转木马浏览方式,源码中CollectionFlowPanel继承自Panel实现旋转木马效果,大家可以下载学习一下啊。
2022年全国职业院校技能大赛中职组网络安全竞赛——应急响应解析(超详细)
旺仔Sec&blog
08-03 1051
2022年全国职业院校技能大赛网络安全竞赛之应急响应
Aldehyde杂志博客响应式wp主题模板
10-10
Aldehyde图片杂志博客响应式wp主题模板大学生毕设作品 1:采用现在流行的HTML5框架,兼容主流的浏览器,支持PC设备:2: 整界面设计大气,页面简洁,容易管理,Wordpress各版本都可以使用;3:后台经过开发,可以直接修改...
挖矿应急响应小结
bloodzer0
03-04 1042
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 1998
Linux挖矿病毒应急响应
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 2596
Windows挖矿病毒应急响应
Linux挖矿应急响应处置
最新发布
weixin_43253823的博客
03-06 1943
记一次Liunx挖矿应急处置流程
记一次挖矿病毒应急响应事件
MachineGunJoe666
11-10 734
应急主机排查 近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。 查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。 进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。 使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与
记一次挖矿病毒的应急响应
qq_40909772的博客
01-14 3089
1.概述   接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。 思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置   客户设备是一台华为的设备,如下图是模拟的一个拓扑:   例如配置GigabitEthernet0/0/1端口流量镜像
记一次CPU告警挖矿事件应急响应
Boom!脑洞大爆炸的博客
07-05 485
记一次CPU告警挖矿事件应急响应
记一次被通报的挖矿事件应急响应
Boom!脑洞大爆炸的博客
07-05 1256
某单位被上级单位通报,单位的出口IP和境外IP有异常通信行为,要求进行紧急处置。
WP7程序开发入门指南
"wp7程序开发指南" 该资源是一本针对Windows Phone 7 (简称WP7)应用开发的入门指南,由Microsoft Press出版,适合初学者使用。由于市场上专门针对WP7开发的书籍较为稀缺,因此这本书显得尤为珍贵。书中内容涵盖了WP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值