挖矿排查-被delete的运行文件

最新推荐文章于 2024-09-13 16:17:52 发布
最新推荐文章于 2024-09-13 16:17:52 发布
阅读量312 收藏
点赞数 4
文章标签: 服务器 linux 阿里云 运维
xdxghy0920
本文链接:https://blog.csdn.net/weixin_44663310/article/details/141992642
版权

当服务器被黑客攻击后,黑客会植入挖矿等程序,执行后删除了文件,但是进程还是在运行中的,那么怎么快速的排查,具体参考下述脚本

1、创建脚本

vim delete.sh

2、脚本内容

#!/bin/bash

# 获取所有进程的PID,并逐一处理
for PID in $(ps -eo pid | awk '{print $1}'); do
    # 获取进程名
    PROC_NAME=$(ps -p $PID -o comm=)

    # 执行ls -al命令,并使用grep筛选出包含"delete"的行
    findings=$(ls -al /proc/$PID/exe 2>/dev/null | grep "delete")
    pstree_PID=$(pstree $PID 2>/dev/null)

    # 如果有匹配结果,则输出PID和进程名
    if [ -n "$findings" ]; then
        echo -e "\033[31m---------------------------------------------------------------------------\033[0m"
        echo ""
        echo "PID: $PID, Process Name: $PROC_NAME"
        echo "$findings"
        echo "$pstree_PID"
        echo ""
    fi
done

3、运行脚本

bash delete.sh
xdxghy0921
关注
42-2 应急响应之计划任务排查
weixin_43263566的博客
05-25 96
进程排查是指通过分析系统中正在运行的进程,以识别和处理恶意程序或异常行为。在Windows和Linux系统中,进程是操作系统的基本单位,因此对于发现和处理恶意软件或异常活动至关重要。恶意程序通常会以进程的形式在系统中运行,执行各种恶意操作,比如窃取信息、破坏数据或者占用系统资源。tasklist命令是Windows系统自带的命令行工具,用于显示当前系统中运行的进程列表及其相关信息。通过这些方法,你可以有效地进行Windows系统中的进程排查,并快速获取所需的进程信息,有助于识别和处理恶意进程。
记一次挖矿脚本应急排查
今天是几号的博客
12-19 2031
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
WannaMine挖矿木马手工处理-NetworkDistribution
qq_42430287的博客
06-30 4609
WannaMine挖矿木马手工处理-NetworkDistribution
服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
热门推荐
陈艺荣
01-15 1万+
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
手把手教你做挖矿应急响应
zhangge3663的博客
01-04 3630
前言 攻防之道,攻是矛,防是盾。应急响应就是防守中最重要的一环,思路清晰的应急响应可以使你事半功倍,抓住攻击者的小尾巴! 本文主要面向无应急基础人员入门引导,大佬轻喷!!! 文中会引用几次我经历过的真实挖矿事件案例,如有侵权请及时联系我们。 开篇 CPU占用高?电脑卡的要命?又被挖矿了?我人傻了! 来跟我一起看看被挖矿了如果处置吧。 不想看文字的大佬请看下图:挖矿木马处置流程一览图 接下来废话不多说,详细的流程在下给各位看官准备好了,请看! 一、...
应急响应处置现场流程 - 进程排查05
战神/calmness的博客
03-22 1334
应急响应处置现场流程 - 进程排查 进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。 ...
挖矿应急响应小结
bloodzer0
03-04 1042
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
绕过杀软!SQL Server Transact-SQL 的无文件攻击姿势
qq_37341685的博客
08-04 763
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: 排查注册表启动项,存在一个BGClient
Window应急响应(七 NesMiner挖矿病毒)
weixin_43781139的博客
11-09 1439
0x00 前言 作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。 0x01 感染现象 1、向大量远程IP的445端口发送请求 2、使用各种杀毒软件查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成。 在查询了大量资料后,找到了一篇在2018年2月有...
红队系列-溯源与应急反制专题
aming小老弟
11-09 465
日志分析、流量特征分析、内存马。
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 153
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
linux应急常用命令+技巧总结
渗透测试教程
03-12 487
常用命令 top # 命令可以直接看到进程实时情况。 ps aux --sort=pcpu | head -10 # 查看cpu占用率前十的进程,有时候可以发现top发现不了的东西 netstat -anpl # 检查当前存在的连接与监听端口 ps -ef #查看当前系统上运行的所有进程与其使用的命令 w # 查看活动用户 who # 查看当前登录用户(tty 本地登陆 pts 远程登录) /var/log/utmp last # 查看用户登录日志,查看我们系统的成功登录、关机、重启等情况 /var/l
linux 使用SSH密钥配置免密登录
最新发布
Johnny's Lab
09-13 194
在你的本地机器上生成一个SSH密钥对。如果你已经有一个,你可以跳过这一步。如果你需要在多台主机之间配置免密登录,你可以重复第2步和第3步,为每台远程主机添加你的公钥。注意:在进行这些操作时,请确保你有对远程主机的适当访问权限,并且你的SSH服务已经启动。在Linux中,使用SSH密钥对来在多台主机之间配置免密登录。将公钥进行分发,如果没有这个命令,可以手动进行操作,多台主机分别操作。先使用一台主机生成密钥对,如果root权限被禁止,请使用其他用户。在终端中运行以下命令,将你的公钥复制到远程主机。
RK3588九鼎创展方案在Arm集群服务器的项目中的应用分析​​
ASD1593578的博客
09-13 1289
RK3588九鼎创展核心板,搭载8核瑞芯微3588芯片,具备高性能、低功耗以及强大的多媒体和AI处理能力。在Arm集群服务器项目中,RK3588系列芯片用有明显的性能优势。本文将结合RK3588芯片的性能特征以及九鼎创展的项目经验来分析RK3588在集群服务器项目中的应用,方便行业客户做技术参考。 RK3588系列芯片都具备丰富的计算核心,内部包含CPU、GPU、NPU、VPU、MCU等计算核心,可以为各种应用提供足够的性能支撑。RK3588的每一个SOC节点都可以满足服务器的性能需求,而这些高性能节点组
【观察】戴尔AI算力加速服务器“焕新上市”,打通AI落地行业“最后一公里”...
申耀的科技观察
09-12 315
今天,在人工智能的推动下,企业数智化转型已进入规模化“倍增创新”的阶段,尤其是以大模型为代表的AI技术加速演进,以及应用场景的不断拓展加深,都让各类AI创新应用如雨后春笋般涌现,并加速惠及千行万业。但与此同时,AI大模型的火热登场,也引爆了智能算力的需求。根据中国信通院发布的《中国算力发展指数白皮书(2023年)》显示,在目前的算力规模中,通用算力规模占比达74%,智能算力规模占比达25%,同比增...
高防服务器的优势与劣势分析
2403_86998484的博客
09-10 208
高防服务器通过持续监控和快速响应网络安全事件,极大地减少了由于网络攻击导致的服务中断,从而确保了业务的连续性。在网络安全威胁日益增加的今天,保障数据的安全是企业信誉的重要部分。高防服务器通常需要更多的资源来维护其高级的安全功能,包括硬件和软件的配置。这使得高防服务器的成本远高于标准服务器,可能需要更多的初期和持续的投资。高防服务器要求专业的知识和技能来进行正确的配置和维护。为了实现强大的安全防护,某些安全措施可能会对服务器的性能产生影响,例如,高强度的流量过滤可能会导致处理速度变慢,影响用户体验。
标准的高防服务器是什么样的呢?
2403_86998484的博客
09-12 143
在选择高防服务器时,企业需要考虑多个标准以确保其网络资产的安全和业务的连续性。选择具备先进DDoS防护技术的服务器,能够识别和过滤恶意流量。确保服务器具备高性能的处理器、充足的内存和快速的存储系统,以处理高负载和高并发请求。选择拥有优质网络基础设施的数据中心,以保证数据传输的速度和可靠性。确保服务器提供商遵守行业安全标准和法规,拥有相关的安全认证,如ISO 27001或PCI DSS。比较不同提供商的价格和服务,选择性价比高的方案。查看其他用户的评价和市场声誉,了解服务器提供商的服务质量和可靠性。
网盘存储如何选择大带宽服务器的智慧指南
qq177803623的博客
09-13 273
随着数据量的激增和用户需求的多样化,网盘的性能瓶颈也日益凸显,其中,带宽作为数据传输的“高速公路”,其重要性不言而喻。除了带宽大小和稳定性外,服务器的网络架构和节点分布也是影响网盘性能的重要因素。因此,在选择网盘存储服务时,不妨多关注服务商的网络建设情况,选择那些拥有先进网络架构和广泛节点分布的服务商。通过明确需求、关注带宽大小与稳定性、考量网络架构与节点分布、评估服务质量与技术支持以及关注价格与性价比等方面的综合考虑,将能够找到一款既满足需求又具有高性价比的网盘存储解决方案。同时,带宽的稳定性同样重要。
linux挖矿病毒排查
12-07
Linux系统中挖矿病毒的排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在挖矿病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xdxghy0921

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值