挖矿病毒常见处置方法

这篇具有很好参考价值的文章主要介绍了挖矿病毒常见处置方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

背景:单纯记录,总结遇到挖矿病毒时的应急响应和溯源分析。

  1. 挖矿病毒特征:“挖矿”病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。

  1. 常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等

  1. 事件大概处置流程:

挖矿处置,网络安全,Powered by 金山文档
  1. 详细流程、操作命令

  1. 收到通知,第一时间告知客户做断网处理,对于明显外联域名的可设置防火墙策略限制。

  1. 了解现状:询问客户事件发生的时间,方便初步判断攻击范围和程度。

  1. 查看安全设备是否有相关告警日志;排查服务器,从以下几个方面入手: CPU高占用、可疑进程、计划任务、系统用户、开放的端口、服务项、内存空间。

  • CPU高占用:

Windows:直接通过任务管理器查看。

挖矿处置,网络安全,Powered by 金山文档

如果发现打开任务管理器,CPU一会就降下来了,这是挖矿病毒的一种保护机制,可以使用wmic方式查看使用率:wmic cpu get LoadPercentage /value

挖矿处置,网络安全,Powered by 金山文档

Linux:使用命令top

  • 可疑进程:

Windows:查看所有运行的进程参数:wmic process get caption,commandline /value >> tmp.txt,

精确查找某个程序的进程参数:wmic process where caption="notepad.exe" get caption,commandline /value

如果可以上传工具,则使用processhacker、ProcessExplorer等进程分析工具

挖矿处置,网络安全,Powered by 金山文档

Linux:使用ps命令查看进程信息:ps -aux,定位CPU占比前十:ps -aux --sort=-%cpu|head -10

找到高CPU占用的进程后,使用ls命令即可定位程序实际路径:ls -la /proc/{进程pid}/exe

  • 计划任务、服务项

Windows:在计算机管理-任务计划程序中查看,也可以使用schtasks命令查看计划任务列表。

Linux:使用crontab -l命令查看计划任务,直接查看/etc/crontab文件,也可在/var/log/cron下查看计划任务的日志。

Windows系统中使用:开始--运行--输入services.msc

Linux系统中使用:systemctl list-unit-files --type service |grep enabled

  • 可疑用户:有的攻击者会创建用户,用来掌控服务器或者掩盖恶意行为。

Windows:在用户账户直接查看。需要注意的是攻击者创建影子账户可使管理员无法发现,可通过工具D盾等查看系统中是否存在影子账户。

Linux:查看用户信息命令 cat /etc/passwd,同时可以使用last查看近期用户或终端的登录情况。

  • 系统日志

Windows系统日志

日志路径:C:\Windows\System32\winevt\Logs

必看日志:Security.evtx、System.evtx、Application.evtx

Linux系统日志

日志路径:/var/log

必看日志:secure、history

  1. 分析病毒样本

进程对应的样本打包加密,在分析平台上进行病毒分析。在快速的应急响应中,收集到的病毒样本在根据沙箱中分析,可以及时的确认样本类型和行为。

微步在线云沙箱 (threatbook.com)、The No More Ransom Project、

  1. 溯源分析

整合对系统的排查,对病毒的分析,结合系统日志或者安全设备日志,确定对攻击者的入侵时间、入侵方式、入侵目的、入侵范围以及入侵损害程度。

  1. 安全加固

对全网服务器进行一次扫描,以及进行一系列的安全加固,例如修复漏洞打补丁、修改强口令并且定期修改口令、关闭或修改高危端口如23、135、137-139、445、1433、3389等。

  1. 总结分析

下班!文章来源地址https://www.toymoban.com/news/detail-636209.html

到了这里,关于挖矿病毒常见处置方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全之认识挖矿木马

    比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后,会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价,比特币的获得需要高

    2024年01月24日
    浏览(51)
  • 网络安全之勒索病毒应急响应方案

    处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。 1. 物理隔离 物理隔离常用的操作方法是断网和关机。 断网

    2024年02月06日
    浏览(41)
  • 网络攻击1——网络安全基本概念与终端安全介绍(僵尸网路、勒索病毒、木马植入、0day漏洞)

    目录 网络安全的基本术语 黑客攻击路径 终端安全 僵尸网络 勒索病毒 挖矿病毒 宏病毒 木马的植入 0day漏洞 流氓/间谍软件 网络安全的定义(CIA原则) 数据的保密性Confidentiality(对称/非对称秘钥) 完整性Integrity(数字证书—证明发送方可信、数字签名—验证数据完整性,是

    2024年02月03日
    浏览(45)
  • 网络安全:windows批处理写病毒的一些基本命令.

    网络安全:windows批处理一些命令. @echo off一般都写在批处理的最上面,用于关闭回显,意思是 关闭回显: 没有关闭回显: 所以,意思就是将输入指令的过程隐藏起来。 set是设置的意思,作业是打印、创建和修改变量:  意思是set创建一个名字叫num的变量,/p是让用户输入一个

    2024年02月04日
    浏览(50)
  • 网络安全底座让勒索病毒攻击化被动为主动,为数字化转型打好安全地基

    根据Cyber Security Ventures的分析结果表明,2022年全世界每11s就会发生一次勒索软件攻击,与2019年每14s一次攻击预测相比,攻击数量增加了约20%。随着勒索软件威胁的不断加剧,一旦目标中招,目标受害者可能面临运营中断,机密信息泄露以及赎金经济损失等问题。随着勒索软件

    2024年04月14日
    浏览(47)
  • 【安全】查杀linux隐藏挖矿病毒rcu_tasked

    这是黑客使用的批量蔓延病毒的工具,通过如下脚本 /root/.cfg/目录下的病毒源文件 目前未查清楚原文件是通过隐藏在什么程序中带过来的,这是一大遗憾 中毒现象提现未cpu占用100%,且通过top、netstat、ps等命令找不到进程号 挖矿的矿池IP,全是国外的IP,大概看了一下,基本

    2024年04月15日
    浏览(39)
  • 注意Libgcc_a挖矿病毒传播!内附自查方法

    近期,我们监测发现一种新型劫持变种病毒,经分析其主体程序为XMrig挖矿病毒家族的变种,该病毒具有较强的顽固性和隐蔽性,难以被查杀,进程杀死后自启动。此外该类病毒还会更改主机配置,重定向端口至远程服务器,通过github下载开源的暴力破解工具对内网主机进行

    2024年02月06日
    浏览(35)
  • 【安全】查杀linux上c3pool挖矿病毒xmrig

    挖矿平台:猫池 病毒来源安装脚本 旷池提供的卸载脚本 高cpu和高内存占用 kill -9 杀掉之后自动重启 进程ip:47.76.163.177 为美国IP,IP查询 查找病毒脚本位置 find / -name xmrig 检查是否有相关的定时任务 如果有定时任务则删除掉 查找自启动服务 因为kill -9杀掉进程之后会立即重启

    2024年04月22日
    浏览(31)
  • 网络安全与攻防-常见网络安全攻防

    目录 攻击手段防御策略 阻断服务攻击(DoS) 地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing) 跨站脚本攻击(XSS) SQL注入 跨站请求伪造(csrf)  HTTPS中间人攻击 小结 阻断服务攻击(DoS) 阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服

    2023年04月25日
    浏览(64)
  • 【网络安全】1.3 常见的网络安全威胁

    在我们的日常生活和工作中,网络安全是非常重要的一部分。无论你是在浏览网页,发送电子邮件,还是在线购物,你都可能遇到各种网络安全威胁。下面,我们将详细介绍一些最常见的网络安全威胁,以及如何防范这些威胁。 恶意软件是一种对计算机系统造成损害或窃取用

    2024年02月07日
    浏览(36)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包