应急响应--164天:挖矿脚本检测,威胁情报

最新推荐文章于 2024-03-06 10:52:38 发布
最新推荐文章于 2024-03-06 10:52:38 发布
阅读量363 收藏 1
点赞数
文章标签: web安全 Powered by 金山文档
.
本文链接:https://blog.csdn.net/wuqingsix/article/details/129031412
版权

挖矿前提:取得服务器权限

linux:

手动查杀:top命令看到哪个进程占用cpu最高 ,找到进程名字

使用:find / -name xxx

等待找出病毒文件路径后

记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认

运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比

从accsess.log日志文件中 找到访问此目录文件的ip地址 溯源

清理:

kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;crontab -L

或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)

启动项目的位置一般在/etc/init.d/目录下

windows:

流程:

cpu---javs.exe(病毒程序)

由于知道挖矿程序重启机器回再次运行(启动项或者计划任务)

添加计划任务(javs 2023 3. 23 09:46)

排查如何添加的计划任务和挖矿样本的注入

web没有程序 基本没有安全问题

爆破口令登陆后 192.168.xxx 2022.23 9:37

服务器管理器---事件查看器---windows日志---安全 (查看登录记录)

My Year 2019
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 1405
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序。
Java-Script-1.0::rocket:Primeiros passos com Java脚本
02-14
Java脚本1.0 :rocket: Primeiros passos com Java脚本Java脚本中的aqui alguns dos projetos contidos nesterepositóriode um inicianteTela登录 不能使用综合性登录证明书
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
oh-my-scripts::monkey:用户脚本可为浏览器快速充电
03-19
哦,我的剧本 用户脚本可为浏览器快速充电。 安装 确保在浏览器中启用了用户脚本: Firefox-安装 。 镀Chrome-安装 。 Opera安装 。 安装 。 海豚-安装 。 UC浏览器-安装 。 从选择一个脚本,然后单击以安装: 更新中 用户脚本设置为自动更新。您可以从Greasemonkey或Tampermonkey菜单中检查更新,或者再次单击安装链接以获取更新。 更多脚本 归因 从制作的图标
Linux挖矿应急响应处置
最新发布
weixin_43253823的博客
03-06 1230
记一次Liunx挖矿应急处置流程
web漏洞“小迪安全课堂笔记”文件操作安全,文件上传
weixin_42902126的博客
03-22 2988
思维导图 利用思路 什么是文件上传漏洞? 指程序对文件的上传未作全面的限制,导致用户可以上传一些超越用户权限的一些文件,可以是木 马,shell脚本,病毒等。 文件上传漏洞有哪些危害? 可以通过文件上传漏洞上传webshell后门。 文件上传漏洞如何查找及判断? 黑盒: 使用扫描工具扫描打开网站。 黑盒:测试会员中心,测试后台。 白盒:直接撸源代码。 文件上传漏洞有哪些需要注意的地方? 拿到漏洞后要对漏洞类型进行区分,编辑器、第三方应用、常规等。区分漏洞类型。 关于文件上传漏洞在实际应用中的说明? 上传
壹拾贰:单片机与芯片164的通信
半个月儿上来的博客
10-17 936
本篇之后都是提高篇 1)只为学习,不讨论现实意义 2)与实物电路会有差距(以实物为准) 3)讲解范围:串行通信、数码管、1602、12864、点阵、直流电机、AD、DA等基础电路。 高级内容暂不讲(USB、CAN、DMA、Wifi、网络、真彩大液晶、触摸屏、GPS、GPRS、Zigbee、NandFlash、Camera等等)(ARM11上讨论这些) 基础知识 通信分为两种:并行通...
Dr.Mine:一款支持自动检测浏览器内挖矿劫持的Node脚本
xxwn202302的博客
04-03 254
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
应急响应挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 1924
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
如何检查并清除挖矿程序
haodoubi的博客
02-19 7637
1.检查cpu使用率 根据cpu使用率曲线确定2.11日可能被注入挖矿程序,根据top确定挖矿程序进程kdevtmpfsi 2.确定挖矿进程源程序位置 find / -name kdevtmpfsi ll 查看安装时间,对比cpu突然拔升时间 3.检查psadm2用户的合法性 4.检查root或者psadm2用户下是否有定时挖矿的复制文件任务 crontab -l crontab -r 删除定时任务 5.杀死挖矿进程 pkill kdevtmpfsi 6.删...
应急响应-挖矿木马-技术操作指南
qq_50765147的博客
02-17 1124
判断是否遭遇挖矿木马,通常采用以下3种方法。
应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 1819
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
Script-SQL-Taller-:GtoApp脚本,基本应用程序脚本
03-13
Script-SQL-Taller-:GtoApp脚本,基本应用程序脚本
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
STM32-(07):串行通信基础(164芯片)
半个月儿上来的博客
01-22 2132
串行通信基础
python开发“小迪安全课堂笔记
weixin_42902126的博客
05-10 1729
python开发Python 开发相关知识点:基础环境安装Python 开发-内外网收集 Socket&子域名&DNS演示案例涉及资源:Python 开发-批量 Fofa&SRC 提取&POC 验证Python 开发-某漏洞 POC 验证批量脚本Python 开发-Fofa 搜索结果提取采集脚本Python 开发-教育 SRC 报告平台信息提取脚本涉及资源:Python 开发-多线程 Fuzz&Waf 异或免杀&爆破案例 1-Python 开发-简单多线程技术
小迪安全笔记
ANYOUZHEN的博客
03-14 6310
1.后门 黑客留下的一个方便下次进入的网址 2.脚本语言主流php java python 3.常见漏洞 上传 代码执行 sql注入 变量覆盖 逻辑漏洞 反序列化 xss
小迪安全web安全|渗透测试|网络安全 | 学习笔记-3
youngerll的博客
12-28 2652
小迪安全web安全|渗透测试|网络安全 | 学习笔记-3
流影之挖矿行为检测
开源流影项目的博客
07-07 557
流影基于情报和深度包检测技术,实现挖矿行为的实时监测和及时告警,并将挖矿行为特征以可视化的方式呈现,帮助用户快速定性,有效缩短分析响应时间,能够大大提高挖矿事件的处置效率。
centos crontab设置 一个2023-06-09 19:01 执行的脚本
06-10
您可以使用以下步骤设置一个在2023年6月9日19:01执行的脚本: 1. 打开终端并登录到CentOS系统中。 2. 运行以下命令以编辑当前用户的crontab文件: crontab -e 3. 在打开的文本编辑器中,添加以下行: 1 19 9 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值