【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复

已于 2024-07-03 10:12:18 修改
阅读量2.2k 收藏 3
点赞数
分类专栏: # 溯源反制与应急响应 文章标签: 应急响应 Structs2
于 2023-04-25 12:38:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130357754
版权

文章目录

请添加图片描述

挖矿样本-Win&Linux-危害&定性

危害:CPU拉满,网络阻塞,服务器卡顿、耗电等
定性:威胁情报平台上传解析分析,文件配置查看等
在这里插入图片描述
挖矿脚本会根据宿主机器电脑配置进行"合理挖矿"
在这里插入图片描述
上传分析挖矿脚本
在这里插入图片描述

Linux-Web安全漏洞导致挖矿事件

某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。
排查:挖矿程序-植入定时任务
排查:Web程序-JAVA_Struts2漏洞
在这里插入图片描述

在这里插入图片描述
放到微步在线分析
在这里插入图片描述
域名反查IP
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
一般挖矿脚本会配合启动项、计时任务等权限维持技术
1、写入计时任务
在这里插入图片描述
2、写入SSH公钥(私钥连接)
在这里插入图片描述
3、删除市场上已知挖矿脚本(恶意竞争了,属于是)
在这里插入图片描述

Windows-系统口令爆破导致挖矿事件

某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
排查:挖矿程序-植入计划任务
排查:登录爆破-服务器口令安全

Linux-个人真实服务器被植入挖矿分析

挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等

1、网站首页被植入暗链
在这里插入图片描述

通过网站域名搜索就恶意跳转,ip访问不跳转。高级用法:将跳转语句写入数据库中,前端代码看不到恶链代码

<script type="text/javascript">
var search=document.referrer; 			//document.referrer 获取了当前页面的来源地址。
if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0) 	#search.indexOf() 	//检查当前页面的来源地址是否包含某个搜索引擎的关键字,baidu、so、google 
	self.location="https://www.XXXXXXXX.com"; 	//self.location 表示当前窗口的 URL 地址,重定向至 https://www.XXXXXXXX.com
</script>

2、日志文件分析 目录扫描&struts2 RCE
在这里插入图片描述

struts 2 RCENday payload
在这里插入图片描述

An0nymouer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
凶残的挖矿脚本,奴役我数千机器!
weixin_39787242的博客
08-09 1万+
本文转载自不正经程序员 温馨提示:本文中出现的命令和脚本,不要在自家服务器上随便运行,除非你知道自己在做什么。 挖矿是把机器当作奴隶,一刻不停歇的去计算、运转,本质上是个无用的工作。但可惜的是,它能赚钱。用别人的机器去赚钱,更是很多人梦寐以求的,所以挖矿脚本屡禁不止。 有钱的地方,就有技术。但反过来并不一定成立。 牢记这个准则,就能够心平气和的学习新技术,而不是气急败坏的纠结为啥没钱。 1. 脚本从哪来? 下面是一个http的报文。 GET /console/images/%2E%2E%2F
EVE 采矿脚本
02-18
使用TC 语言开发的
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本
W小哥
03-16 4644
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
流影之挖矿行为检测
开源流影项目的博客
07-07 614
流影基于情报和深度包检测技术,实现挖矿行为的实时监测和及时告警,并将挖矿行为特征以可视化的方式呈现,帮助用户快速定性,有效缩短分析响应时间,能够大大提高挖矿事件的处置效率。
服务器被检测挖矿
XRY_XIAO的博客
05-30 471
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测挖矿,这位朋友一脸懵“我开游戏的,什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~ 遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。 最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。 但是服务器里如果有很多重要的文件
挖矿检查及处理
qq_29005979的博客
02-19 674
挖矿检查 /var/log/secure日志中存在大量密码错误登录信息(打开后有一堆信息,好像是有直接查看的命令来着) 执行pam_tally2,存在大量用户错误尝试密码信息 系统存在未知的高CPU使用率进程; /var/spool/cron/目录不为空,且文件中存在未知程序; 执行lsattr $(which ssh)出现i或者a等属性(root失陷); 使用root执行netstat -antp,出现大量目的地址不明的连接。 Linux服务器挖矿病毒处置与加固步骤: 重装系统,如果数据盘独立分区,
 基于嵌入式系统的小型服务器的搭建
01-30
 随着设备小型化及网络技术的快速发展,嵌入式系统在最近几年得到了广泛的应用。最突出的表现就是嵌入式系统在个人移动平台及航空...BOA服务器运行在Linux操作系统下,通过CGI脚本文件来实现对硬件资源的操作。
文件对比 Beyond Compare v4.2.9 (build 23626) for Win&Mac&Linux.txt
09-30
Beyond Compare 是一套非常实用的文件文件夹比较软件,不仅可以快速比较出两个文件夹的不同之处,还可以详细的比较文件之间的内容差异。程序内建了文件浏览器,方便您对文件文件夹、压缩包、FTP网站之间的差异...
XML&JSON 目标检测、实例分割标签转换给yolo用脚本
最新发布
12-27
YOLOv8 Dataset Converter 是一个为目标检测和实例分割任务设计的强大工具。它能够将XML和JSON格式的标注文件高效地转换为适用于YOLOv8模型的格式。这个工具是为那些寻求简化其数据预处理工作流程的计算机视觉研究...
shell脚本学习指南[六](Arnold Robbins & Nelson H.F. Beebe著)
01-20
我在测试文件路径下除了通配符*和?外还能用啥正则那样的东西,结果就在$HOME下执行了rm .* 。。。好吧,蛋疼了一下午!还木找回任何一个配置文件。警示后人,千万别使用rm试通配符!任何时候小心使用rm! 第十四章...
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此...
挖矿病毒检测脚本
Neko的博客
03-19 1175
#!/bin/bash #需要root权限 echo "Linux安全检查与应急响应工具" echo "Version:1.3" echo "Author:Daily" echo "Date:2020-11-11" dos2unix buying.sh date=$(date +%Y%m%d-%H%M%S) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/
应急响应--164天:挖矿脚本检测威胁情报
wuqingsix的博客
02-14 383
记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认。kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比。或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)服务器管理器---事件查看器---windows日志---安全 (查看登录记录)cpu---javs.exe(病毒程序)
实力解剖一枚挖矿脚本,风骚操作亮瞎双眼
小姐姐味道
05-27 1582
原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。公司有几台机器,最近cpu一直在疯转,就像是吃了春药,一直在发热。由于机器实在是太多,有这么几台安全性防护没有...
Dr.Mine:一款支持自动检测浏览器内挖矿劫持的Node脚本
xxwn202302的博客
04-03 282
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
挖矿一键脚本_猫池挖矿事件分析
weixin_39588445的博客
12-12 2116
一、背景近期发现一起Weblogic wls-wsat反序列化漏洞利用攻击事件,利用该漏洞执行powershell系统命令,伪装矿池地址,不易被发现,静默下载猫池(c3pool.com)挖矿脚本,并执行脚本下载XMR挖矿程序并进行挖矿。猫池会在多种算法的N个币中,选择利润最高的币去,因此猫池收益高于只一个币的传统矿池。智能模块会根据某个币的交易所价格,交易所深度,挖矿难度(全网算力)...
记一次被挂挖矿脚本的经历
DPCFish的博客
10-28 1216
好久没登服务器,今天打开mobaxterm,突然发现CPU占用60+,感觉不对劲。 htop发现systemd进程跑满了8个内核,剩下4个是0占用。 然后top 发现systemd跑了个python。 ?????? 通过lsof和netstat定位到进程和远程连接,确认该进程占用了大量计算资源,并和外网通信。 kill pid后,没过一会儿,又回来了。 定位到文件位置/tmp/.X12_ ...
挖矿蠕虫样本分析
weixin_30319153的博客
11-16 473
转载于:https://www.cnblogs.com/0x4D75/p/9970491.html
Redis未授权漏洞复现,利用其实现的挖矿蠕虫脚本分析
qq_53689523的博客
05-05 828
Redis未授权漏洞复现 挖矿蠕虫脚本分析 恶意代码分析实例
网络安全应急响应检查清单
07-06
网络安全应急响应检查清单

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值