挖矿病毒应急响应思路,挖矿病毒事件处理步骤

这篇具有很好参考价值的文章主要介绍了挖矿病毒应急响应思路,挖矿病毒事件处理步骤。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

一、什么是挖矿

比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。

「寻找代码」的过程,就是挖矿。

设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。

为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。

二、被挖矿主机现象

挖矿木马最大的特点就是「CPU占用高」,占用高以后,电脑温度就会升高、风扇噪音也会变大,服务器上的业务变得异常缓慢。

三、挖矿木马处置思路

1)隔离

非重要业务系统直接下线隔离再做排查。

重要业务系统:在不影响业务的前提下,及时隔离当前主机,如禁用非业务使用端口、服务、配置ACL白名单。

2)确认挖矿进程

挖矿程序的进程名称一般表现为两种形式:

一种是不规则的数字或字母,这种需要检查哪些不常见的名字。

另一种是伪装成常见的进程,这种就重点看CUP占用高的进程。

3)清除木马

网络层面阻断挖矿木马与矿池的通信。

清除挖矿定时任务,启动项等。

定位挖矿文件位置并删除。

4)加固

根据挖矿木马的传播方式,修复相应漏洞,防止再次感染。


四、挖矿木马处置步骤

首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。

而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。

最后通过账号、日志、母体文件等信息,溯源攻击路径。

1)Windows

0、挖矿木马现象

CPU占用高,主机卡顿

1、排查进程

思路:

通过网络连接定位进程PID,再通过PID定位具体程序,通过任务管理器定位进程文件位置。
排查CUP占用高的、进程名异常的进程。

相关命令:

netstat -ano 查看网络连接,最常见的就是大量445的连接。

tasklist | findstr “PID” 根据PID查看具体的进程。

wmic process | findstr “进程名称” 根据进程名获取进程位置。

attrib -H 文件名 取消隐藏属性,很多时候我们定位到文件位置时,发现文件夹是空的,这时候就需要取消文件的隐藏属性并显示文件的后缀名。

2、排查账号

思路:

检查弱口令、可疑账号,比如新建账号、隐藏账号、克隆账号

相关命令:

net user查看当前系统的账号,与用户确认,是否有新建的可疑账号;询问用户账号口令是什么,是否存在弱口令。

WIN + R,输入lusrmgr.msc,查看是否有隐藏账号。

3、排查启动项

WIN + R,输入 regedit,打开注册表,看开机启动项。

WIN + R,输入msconfig 或【任务管理器】-【启动】

4、排查计划任务

【控制面板】-【计划任务】

cmd 输入at或schtasks.exe。

5、日志分析

WIN + R,输入 eventvwr.msc

重点看登录日志,看登录类型,2(网络共享)和10(远程桌面)是挖矿木马出现最多的登录类型。

根据样本文件的创建时间,排查这个时间段的登录情况。

2)Linux

1、排查进程

top命令检查CUP占用高的进程,确定PID,定位文件位置

netstat -anp 查看网络连接

ps -ef 查看可疑进程

ps -aux 查看进程

ls -alh /proc/PID 根据PID查看进程对应的可执行程序

kill -9 PID 结束进程

2、排查账号

cat /etc/passwd 查看用户信息

last 用户最近登录的信息

lastlog 所有用户最后一次登录的信息

lastb 用户登录失败的信息

history 历史命令

3、排查定时任务

crontab -l 查看计划任务

cat /etc/crontab 查看计划任务

crontab -u root -l 查看root用户的计划任务

ls /etc/cron* 查看计划任务文件

4、排查启动项

/etc/rc*

/etc/rc.d/rc

/etc/rc

/etc/rc.local

/etc/rc.d/rc.local

/etc/rc.d/rc

/etc/init/*.conf

五、挖矿木马应急实例

驱动人生挖矿木马:

利用永恒之蓝传播。

存在大量445连接行为,netstat -ano | grep 445

服务名包含drivers(\windows\system32\drivers\svchost.exe)

母体文件设置为隐藏,会创建多个计划任务(Rsta或其他随机名称),调用PowerShell。

粉丝福利

评论区评论参与抽奖,送《Windows PowerShell自动化运维大全》一本。

《Windows PowerShell自动化运维大全》由微软最有价值专家、微软TechEd优秀讲师徐鹏著作,多年经验毫无保留分享,一本书完全讲透Windows PowerShell自动化运维所有核心知识点,赠送同步视频学习教程,助你从运维初级工程师转向高级运维工程师!一本书精通Windows PowerShell自动化运维!

本书从基础的 PowerShell 命令开始,先后讲述了基础命令、模块、脚本的编写等相关知识。同时为了让大家更快地理解和掌握 PowerShell 的环境配置和编写,我们使用系统内置的 PowerShell ISE 开发环境进行 PowerShell 代码的开发和运行。为了照顾很多基础薄弱的读者,在进行代码案例演示时都使用了 15 行以内的代码。

本书可作为学校培训与企业培训的基本学习教程和工具书,相信通过本书的学习,读者可以更快地理解 PowerShell在日常生活及企业内的应用,为读者在自动化运维的道路上助力。

挖矿病毒应急响应思路,挖矿病毒事件处理步骤,《网络安全快速入门》,网络安全,人工智能,安全,web安全文章来源地址https://www.toymoban.com/news/detail-683098.html

到了这里,关于挖矿病毒应急响应思路,挖矿病毒事件处理步骤的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全】3.3 应急响应和事后处理

    当我们谈论网络安全时,我们会遇到各种各样的威胁,如病毒、蠕虫、木马、DDoS攻击等。面对这些威胁,我们需要进行应急响应,以最小化损失并保护我们的网络。接下来,我们将详细讲解应急响应的步骤,并提供一些实例来帮助你理解。 应急响应通常包括以下五个步骤:

    2024年02月08日
    浏览(40)
  • Linux中挖矿病毒清理通用思路

    目录 前言 清理流程 检查修复DNS 停止计划任务 取消tmp目录的可执行权限 服务排查 进程排查 高CPU占用进程查杀 计划任务清理 预加载劫持清理 系统命令变动排查 中毒前后可执行文件排查 系统配置文件排查 小结 在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限

    2024年02月10日
    浏览(35)
  • 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同时,通过任务管理器,发现windows临时文件夹中也有该程序 通过测试可知F.exe为勒索病毒程

    2024年02月06日
    浏览(40)
  • 74应急响应-win&linux分析后门&勒索病毒&攻击

    #操作系统(windows,linux)应急响应: 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。 2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件

    2024年01月21日
    浏览(52)
  • Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(60)
  • 应急响应-勒索病毒检测指南&Win&Linux样本演示&家族识别&分析解密

    勒索病毒是一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。201

    2024年04月14日
    浏览(55)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(42)
  • Linux应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月03日
    浏览(42)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(42)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包