![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
文章平均质量分 54
维梓-
这个作者很懒,什么都没留下…
展开
-
挖矿病毒之AddInUtil与framework
收到看到云安全中心的挖矿告警,一看凌晨00:55就入侵进来了再看另一条,说了创建用户,顿时感觉不对劲说的是这个进程(C:/Windows/Microsoft.NET/Framework/v2.0.3212/AddInUtil.exe),但是一看,文件夹是空,打开了隐藏也是空看文件夹的创建时间,这不就对上了吗赶忙看看账户,多出来一个账号ASP.NET,抓紧时间跟业务确认这个账户,业务反馈没用过,立马禁用再一看日志,就几百条?而且上来就执行了日志清除?原创 2023-10-18 14:28:16 · 2635 阅读 · 0 评论 -
挖矿病毒之CVE-2021-26084入侵confluence
分析后,类似的执行结果都是失败,只是偶尔一两次云安全中心会在火绒前发现这个命令执行而告警,大部分情况都是火绒先发现拦截了,我推测攻击者的程序也会定期执行利用这个漏洞。虽然程序报错了,不过火绒已经有显示了,看来攻击者就是没事儿就执行一下,又想免费挖矿了?查看详情,发现是针对Jira系统的,首次发生时间在去年,看来是个“惯犯”了。接着就是查查到底是怎么攻进来的,看了看confluence,是老版本了。奇怪哦,我就记得我是装过火绒的,怎么还能被云安全中心监测到?晚上20:18,发现云安全中心有一条告警。原创 2023-06-01 22:00:00 · 2998 阅读 · 0 评论 -
记一次暴力破解的应急响应
主要是1秒钟只试两条,火绒也识别不出来,因为和正常登录失败太像了,而且从日志保留的第一天就已经开始执行“爆破”了。查看日志,之前都是审核失败,在2点24以后审核成功,时间可以对上,所以大概率是日积月累的“爆破”登录服务器查看,火绒无法打开,应该是已经被免杀绕过了,植入后用免杀破坏了火绒程序,导致火绒失效。使用火绒的系统修复,把任务管理器等系统工具修复,并关闭了一些不必要的启动项和计划任务。3.修改远程用户的密码,长度20位就行,每季度改一次。在计划任务中还发现了一个惊喜,关闭计划任务中的后门。原创 2023-06-01 23:00:00 · 2984 阅读 · 0 评论 -
挖矿病毒之CoinMiner入侵SQLServer
挖矿病毒之CoinMiner入侵SQLServer原创 2022-06-26 21:08:30 · 5435 阅读 · 1 评论