一次挖矿病毒处理过程

最新推荐文章于 2024-05-06 10:44:41 发布
最新推荐文章于 2024-05-06 10:44:41 发布
阅读量9.7k 收藏 9
点赞数 5
分类专栏: 病毒 网络安全 软件使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42433054/article/details/103530836
版权

事件背景

  深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒,病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信过程,找出恶意进程,并进行病毒木马清除。

事件排查过程以及结果

根据TDA报送的告警事件,恶意回调的域名为amnsreiuojy.ru,感染终端为:x.x.x.14,详细信息为:

将域名丢进威胁情报查一波:

为找出该恶意进程,进行如下操作:

最低0.47元/天 解锁文章
sinfoyou
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
工控安全 勒索病毒防范 挖矿技术防范解决方案 勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经验证的外部设备或存储介质。 定期备份重要数据,以防止数据丢失。 如果收到可疑邮件或信息,应及时删除并报告给相关机构。 在进行网上银行、在线支付等操作时,要确保所使用的浏览器和操作系统是安全的。 不要随意点击来历不明的链接或下载未知附件。 定期清理系统垃圾和临时文件,保持系统运行速度。 关闭不必要的端口和服务,减少潜在的安全风险。 不要在公共场所(如网吧)登录个人账户或进行网上交易。 总之,预防勒索病毒需要从多个方面入手,包括加强安全意识、安装防毒软件、避免下载不明来源的文件等。只有综合运用各种手段,才能有效地防范勒索病毒的威胁。
挖矿是程序病毒解决过程
dengshanzhe3Q的博客
12-11 693
现象:cpu 90%以上 处理过程:1.kill -9 pid 删除进程,删除后cpu下去后,又升起 2.怀疑有定时任务启动 :crontab -l 3 .进入 /var/spool/cron/ ,查看存在定时任务 4. ps -ef | grep 'tauafa' 查出所有进...
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
韩束一叶子
05-06 1053
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1746
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4650
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
亚信安全火力全开猎捕“坏兔子”,全歼详解
weixin_34050005的博客
11-15 282
10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。 该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒...
biden1挖矿病毒处理经过
在原七海的博客
12-15 327
biden1挖矿病毒处理经过
crontab异常任务删除不了,清除挖矿病毒
最新发布
06-20
crontab异常任务删除不了,清除挖矿病毒
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
Scratch挖矿游戏作品:挖矿
03-14
可售出矿石,获得钱币,以购买“稿子”“护盾”等。干货满满,欢迎转载,记得注明原作者。此后仍有各热门或有趣游戏,请关注原作者,且点赞加收藏,记得推荐好友。下载即可玩,快点来下载吧!
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 5933
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
一次解决挖矿病毒的过程(sysupdate、networkservice)
p312011150的博客
07-07 3067
对于挖矿病毒,我们如何发现它呢?其实有个很显然的问题,挖矿病毒会超级占用cpu,当你发现你的服务器变的很卡的时候,这时候,可能就是挖矿病毒或者其他病毒正在攻击你的服务器。 我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正..
一次挖矿木马病毒排查过程
vbaspdelphi的专栏
04-17 8219
兰眼发现该机器与挖矿网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。 但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。 那么什么是映像劫持呢? 什么是映像劫持 也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运...
最新DNS病毒问题
wangxiaofei2006的专栏
07-09 2608
老大的电脑突然IE打不开了,QQ什么的也登录不了,查啊查,网络,IP一一改过,应时不能上,ping外网的地址都通,就是打不开,一看新闻,竟然DNS劫持病毒,找到原因,解决起来就好办了,一个命令"netsh winsock reset",然后重启电脑,OK,解决
记录一次挖矿病毒处理:kdevtmpfsi
Hubz131的博客
02-11 888
一、服务器CPU饱满 使用下面的命令查看CPU使用情况 ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head 结果: 网上查是挖矿病毒 二、解决 不知道这个病毒是不是进化了,每次执行 ps -aux | grep kinsing 它的进程号都会发生改变(kinsing是守护进程,必须先杀死他) 解决方案: 1、使...
一次服务器被挖矿的处理解决过程
weixin_34228387的博客
07-28 1736
内网一台服务器cpu爆满,第6感猜测中了挖矿病毒,以下为cpu爆满监控图表赶紧ssh进系统,top了下,一个./x3e536747 进程占用了大量的cpu,cpu load average超过了cpu内核数,先kill掉进程,不用猜,等会肯定会继续启动,检查开放端口,发现postgresql直接对外开放的。肯定是通过这个入口***进来的;暂时关闭外网pg 5432端口;找到挖矿执行路径,都在/tm...
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值