记·Linux挖矿病毒应急响应

这篇具有很好参考价值的文章主要介绍了记·Linux挖矿病毒应急响应。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、前言

朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。

二、处置

top查看cup发现占用300%,确实是被用来挖矿了。

挖矿应急,应急响应,网络安全,Powered by 金山文档

查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事?

挖矿应急,应急响应,网络安全,Powered by 金山文档

查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,异常IP地址为5.133.65.54。

挖矿应急,应急响应,网络安全,Powered by 金山文档

查看IP为国外IP,微步上显示矿池IP。

挖矿应急,应急响应,网络安全,Powered by 金山文档
挖矿应急,应急响应,网络安全,Powered by 金山文档

既然有pid那就先杀死进程。

挖矿应急,应急响应,网络安全,Powered by 金山文档

但是过一会挖矿木马又重新启动,pid为13097。

挖矿应急,应急响应,网络安全,Powered by 金山文档
挖矿应急,应急响应,网络安全,Powered by 金山文档

既然会自动复活猜测存在定时任务,查看时却为空。

挖矿应急,应急响应,网络安全,Powered by 金山文档

那只能查看计划任务文件,发现异常计划任务并且路径为/etc/xbash/xbash。

挖矿应急,应急响应,网络安全,Powered by 金山文档

继续查看其他计划任务 /var/spool/cron。

挖矿应急,应急响应,网络安全,Powered by 金山文档
挖矿应急,应急响应,网络安全,Powered by 金山文档

本以为删除计划任务、终止进程木马后就可以了。谁知道没一会cpu又被跑满,异常进程pid为19037,那应该还存在守护进程。

挖矿应急,应急响应,网络安全,Powered by 金山文档

systemctl status 19037查看守护进程,发现异常地址为/root/gcclib/libgcc_a

挖矿应急,应急响应,网络安全,Powered by 金山文档

接下来清除异常进程,删除异常文件。

挖矿应急,应急响应,网络安全,Powered by 金山文档

再删除最开始计划任务中另一个异常文件。

挖矿应急,应急响应,网络安全,Powered by 金山文档

随后查看网络连接,恢复正常。

挖矿应急,应急响应,网络安全,Powered by 金山文档

为防止木马再次复活,重启后过一段时间查看cpu,也处于正常状态。

挖矿应急,应急响应,网络安全,Powered by 金山文档

三、分析

攻击者通过爆破22端口进入主机,并启动木马。该木马病毒比较狡猾,杀死进程后不仅存在计划任务会导致复活,还存在守护进程。在不清除守护进程的前提下无法从根本去除该木马。该病毒在沙箱显示安全,可能是因为比较新没有检测到。属于Derusbin家族xmrig挖矿程序,用来挖掘门罗币。存在多个恶意行为,例如通过写入一个contrab创建计划任务,停止指定服务,并使用wget命令从网上下载文件到目标机,还有读取用户数据,删除文件及修改文件夹权限等等。

挖矿应急,应急响应,网络安全,Powered by 金山文档
挖矿应急,应急响应,网络安全,Powered by 金山文档

四、建议

  • 禁止弱口令,建议由大小写字母,特殊字符以及数字组成。

  • 定期检查安全软件安装情况及病毒库更新。

  • 内部进行安全培训,加强安全意识。文章来源地址https://www.toymoban.com/news/detail-648662.html

到了这里,关于记·Linux挖矿病毒应急响应的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全应急响应预案演练

    制定好的应急响应预案,只做培训还不够,还需要通过实战演 练来提高应对网络突发事件的行动力,针对网络突发事件的假想情 景,按照应急响应预案中规定的职责和程序来执行应急响应任务。 根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调 整完善。 1、

    2024年02月10日
    浏览(45)
  • 网络安全应急响应预案培训

    应急响应预案的培训是为了更好地应对网络突发状况,实施演 练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相 关内容进行培训学习。做好应急预案的培训工作能使各级人员明确 自身职责,是做好应急响应工作的基础与前提。应急响应预案的培 训分为以下几

    2024年02月11日
    浏览(42)
  • Webshell 网络安全应急响应

    webshell通常指JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,是一种网页后门,攻击者入侵后,通常将后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接得到了服务器操作环境,达到控制网站的目的。 常见的webshell脚本

    2024年02月12日
    浏览(44)
  • 网络安全运维-应急响应篇

    1.1 /tmp 目录 此目录下,任可用户均可读写,因此应关注此目录内容 1.2.1 /etc/init.d 系统服务目录 /etc/init.d/apache2 status #查看服务状态 apache2.service - The Apache HTTP Server      Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)      Active: inactive (dead)        Doc

    2024年02月09日
    浏览(45)
  • 网络安全应急响应流程图

    当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构

    2024年02月05日
    浏览(44)
  • 2023年网络安全竞赛——网络安全应急响应Server2228

    网络安全应急响应 任务环境说明: ü 服务器场景:Server2228(开放链接) ü 用户名:root,密码:p@ssw0rd123 1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交; 使用用户名和密码登录系统,如下图 在 Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有

    2024年02月10日
    浏览(35)
  • 网络安全应急响应典型案例集

    本文是学习网络安全应急响应典型案例集(2021). 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利

    2024年02月15日
    浏览(34)
  • 网络安全应急响应工具之-流量安全取证NetworkMiner

    在前面的一些文章中,用了很多的章节介绍流量分析和捕获工具wireshark。Wireshark是一款通用的网络协议分析工具,非常强大,关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。本文将介绍一个专注于网络流量取证的工具NetworkMiner,其视角和wireshark是不同的。 Netwo

    2024年02月03日
    浏览(48)
  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(55)
  • 【网络安全】3.3 应急响应和事后处理

    当我们谈论网络安全时,我们会遇到各种各样的威胁,如病毒、蠕虫、木马、DDoS攻击等。面对这些威胁,我们需要进行应急响应,以最小化损失并保护我们的网络。接下来,我们将详细讲解应急响应的步骤,并提供一些实例来帮助你理解。 应急响应通常包括以下五个步骤:

    2024年02月08日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包