挖矿前提:取得服务器权限
linux:
手动查杀:top命令看到哪个进程占用cpu最高 ,找到进程名字
使用:find / -name xxx
等待找出病毒文件路径后
记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认
运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比
从accsess.log日志文件中 找到访问此目录文件的ip地址 溯源
清理:
kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;crontab -L
或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)
启动项目的位置一般在/etc/init.d/目录下
windows:
流程:
cpu---javs.exe(病毒程序)
由于知道挖矿程序重启机器回再次运行(启动项或者计划任务)
添加计划任务(javs 2023 3. 23 09:46)
排查如何添加的计划任务和挖矿样本的注入
web没有程序 基本没有安全问题
爆破口令登陆后 192.168.xxx 2022.23 9:37
服务器管理器---事件查看器---windows日志---安全 (查看登录记录)