Linux挖矿应急响应处置

最新推荐文章于 2025-03-21 16:30:27 发布

原创

最新推荐文章于 2025-03-21 16:30:27 发布 · 2.7k 阅读

34 ·

CC 4.0 BY-SA版权

文章标签：

#linux #网络 #网络安全

1、异常现象确认

查看CPU占用率，发现work32 cpu占用率较高

查看网卡信息发现发送了大量数据包

使用：lsof -i -PnR 命令查看网络通信情况，发现work32存在大量网络通信

执行netstat -tantp语句查看到：SYN_SENT (表示客户端发送建立连接的SYN请求)，发现该主机中的可疑进程work32在登陆很多外部主机的SSH 端口

于深信服/微步等威胁检测平台中对部分外连IP进行检测，暂未发现报威胁异常

2、分析排查

查找PID-2585或查找进程work32

Is -al /proc/[可疑PID]目录，查看到对应进程目录和进程

进入到命令下发现.work目录不存在，使用ls -a 查看.work文件夹被隐藏

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

MonkeyD.路飞

关注关注

28
点赞
踩
34

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Window应急响应（四）：挖矿病毒

08-05

5568

0x00 前言随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。 0x01 应急场景某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。 0x02 事件分析 ...

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤

热门推荐

wangyuxiang946的博客

05-05

2万+

首先根据CPU占用率确定确定挖矿进程，找到母体文件并清除。而后是检查计划任务、启动项中，挖矿木马的持久化操作，杜绝复发。最后通过账号、日志、母体文件等信息，溯源攻击路径。

参与评论您还未登录，请先登录后发表或查看评论

记·Linux挖矿病毒应急响应

chongya927的博客

03-01

2770

Linux挖矿病毒应急响应

Linux中招挖矿木马如何处置，附带解决方案

是故事啊~关注我~

01-25

7831

前段时间一位朋友在群里反应，公司的部署大数据集群的Linux服务器中了挖矿木马病毒，让我给他解决，分享一下解决方法。一. 什么是挖矿木马首先经过多年的演进，越来越多的挖矿木马利用多种方式入侵系统，意图感染更多的机器，提高挖矿的效率和收益，其中主要入侵方式如下： 1. 漏洞利用：利用系统漏洞快速获取相关服务器权限，植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。部分攻击者选择直接利用永恒之蓝...

Linux应急响应之挖矿篇

qq_42671480的博客

05-20

1339

Linux应急响应之挖矿篇 Linux服务器经常受到挖矿木马的骚扰，严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢？首先了解一下什么是挖矿每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块。而比特币的发行是基于奖励的，每促成一个区块的生成，该节点便获得相应奖励，这样大家就有动力投入资金去维护整个交易网...

linux挖矿病毒排查-实操

w_kndy的博客

11-03

1064

linux挖矿排查实战，看这一篇就够了

Linux应急响应-挖矿（kdevtmpfsi）——事件复现（含样本）

W小哥

03-16

5737

此次复现挖矿清除不溯源，只是简单的记一下一、事件背景某天打开我的服务器，发现CPU飙到100%。肯定有问题，应该又被挖矿了服务器：Linux系统二、事件处理 2.1 top 查看cpu占用情况，找到占用cpu的进程最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常，看到陌生ip，查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了查看定时任务：crontab -l 删除定时任务：crontab -r 删除相关文件： find /

Linux服务器挖矿病毒处理

自己在学习过程中的总结

06-19

3815

情况说明：挖矿进程被隐藏（CPU占用50%，htop/top却看不到异常进程），结束挖矿进程后马上又会运行起来（crontab -l查看发现没有定时任务）。1.中毒表现 2.解决办法：断网并修改root密码，找出隐藏的挖矿进程，关闭病毒启动服务，杀掉挖矿进程 3. 防止黑客再次入侵：查找异常IP，封禁异常IP，查看是否有陌生公钥。中毒表现：服务器是24核的，前12核的CPU占用一直处于100%，即使重启服务器，马上就会占用12核的CPU，并且系统内存占用也很大。在没有使用软件的情况下，CPU使用率很高。

蓝队-应急响应01-挖矿事件应急处置

jklove9的博客

02-08

1687

通常情况下会通过未授权访问漏洞，弱口令（口令爆破）等方式，具体是什么方式，还需要看被入侵的服务器具体开放了哪些端口或者服务？挖矿程序主要是利用GPU等资源进行挖矿操作，最直接的现象就是CPU拉满，消耗电力等。下述可以清楚看到，运行挖矿程序之后，查看CPU状态是拉满的，即100%。经过上述分析，基本确认是挖矿，确认挖矿之后，需要进一步探究挖矿程序是如何被上传？挖矿程序通常会有相应的配置文件，如下config.json所示，可以看到钱包地址，挖矿域名等。依据挖矿程序，全盘搜索，发现下述两个路径均存在挖矿程序。

挖矿病毒应急响应处置手册

最新发布

安全狐

03-21

1243

通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下：服务器或PC访问过不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序，而不受信任的来源主要是：第三方情报结构，企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务，并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。

应急响应——Linux挖矿木马处置

记录并分享学习安全的知识点..

12-01

1101

挖矿会带来大量的计算资源消耗，成本过于高昂，这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中，利用受害者的计算机资源进行计算，从而获取非法收益。挖矿木马为了使用更多的计算资源，一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点，会在成功入侵一台主机后，对处在同一个内网的其他主机进行横向渗透，以此来获得长期巨大而计算资源。

linux 处理挖矿

an74520的专栏

04-07

1646

查看crontab watch crontab -l 发现有定时脚本以下是脚本内容删除crontab挖矿脚本配置，并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.

应急响应-linux挖矿病毒的实战处置

告白的博客

08-06

1415

将该文件上传沙箱检测，确定为木马程序，且为内容存在条件竞争，且调用多种终端，行为非常正常文件，在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间，同时观察到在该木马文件访问的前几次，攻击者成功访问了st2框架的.sction页面，疑似通过st2漏洞进入并植入木马，后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知，该主机通过web服务被入侵，攻击者通过st2漏洞植入木马，获取web权限后植入挖矿木马文件，并设置定时任务。

Linux挖矿病毒事件应急响应演练(dbused木马)

Li-D的博客

11-17

8028

环境准备 **攻击机**：kali（192.168.130.131） **靶机**：Ubuntu（192.168.130.138）攻击阶段（1）通过端口扫描工具，对服务器进行端口探测尝试，发现开启了22端口；（2）通过hydra工具暴力尝试破解用户名和密码，发现暴破成功，用户名为：root/root （3）在攻击机上准备挖矿病毒（4）接下来进行攻击入侵，等待脚本运行 应急响应 检测阶段（1）查看服务器系统整体运行情况，发现名为dbused的可疑进程大量占用系统CPU使用率（2）查看是否存

挖矿应急响应

chongya927的博客

02-18

1165

Linux挖矿应急响应

linux处理挖矿

weixin_38689747的博客

05-31

183

处理挖矿病毒 1清tmp的执行文件 2清ssh无密登录 3清bin下的执行文件 etc 4清软链 5清守护进程 6清理crontab 参考 https://cloud.tencent.com/developer/article/1929179

一次linux 【Mirai蠕虫】的应急处置

beichenyyds的博客

01-31

1243

linux 蠕虫排查

linux被挖矿处理xmrig、kdevtmpfsi程序挖矿

itrondi的博客

03-22

1888

linux被挖矿，处理xmrig、kdevtmpfsi挖矿程序这两天老是收到阿里的警告：已经明显提示被挖矿可有后台可疑程序在运行 1.排查：命令行输入： top 发现两个可疑程序，分别是 xmrig、kdevtmpfsi 通过百度发现两个都是挖矿程序。 2.排查：在使用top命令查看时发现这两个挖矿程序时有时无，初步怀疑是定时运行的。 1.使用kill -9将进程杀死： kill -...

一个Linux挖矿的简单处理

信息安全

04-06

1789

由于平时很少接触linux的病毒现场，特意找到了一个之前处理过的现场进行复现，算是对linux命令的掌握以及对linux病毒的了解执行挖矿病毒使用top命令，站cpu占用率可以看到PID为28842的进程占用已经为97.3% 然后使用netstat -antp看网络查看网络连接经过搜索，这两个ip都为矿池ip，到这就可以判断这是一个挖矿病毒了 cd /proc/28842进入进程号目录...