“挖矿”病毒排查处置方法

这篇具有很好参考价值的文章主要介绍了“挖矿”病毒排查处置方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

排查方法

挖矿病毒被植入主机后,利用主机的运算力进行挖矿,主要体现在CPU使用率高达90%以上,有大量对外进行网络连接的日志记录。

Linux主机中挖矿病毒后的现象如下图所示:

“挖矿”病毒排查处置方法

Windows主机中挖矿病毒后的现象如下图所示:

“挖矿”病毒排查处置方法

处置方法

一旦发现主机或服务器存在上述现象,则极有可能已经感染了挖矿病毒。可以通过以下步骤来删除病毒:

(一)Windows系统

1、对恶意程序进行清除操作,由于挖矿木马具有很强存活能力,不建议手工查杀,建议使用杀毒软件对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用

2、在防火墙关闭不必要的映射端口号或服务,重启再测试是否还会有可疑进程存在;

3、对操作系统及系统相关管理界面的登录设置强密码(10位以上,大小写字母、数字及特殊字符的组合)。

(二)Linux/mac系统

1、通过安装防病毒软件(详见附件),对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用

2、如具备较强动手能力,可参照以下说明进行排查:

  1)排查是否存在异常的资源使用率(内存、CPU等)、启动项、进程、计划任务等,使用相关系统命令(如netstat)查看是否存在不正常的网络连接,top 检查可疑进程,pkill 杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.local

  2)查找可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除。

  3)查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。

3、在防火墙关闭不必要的映射端口号或服务,重启再测试是否还会有可疑进程存在。

4、建议系统管理员对操作系统及系统相关管理界面的登录设置强密码(10位以上,大小写字母、数字及特殊字符的组合);

防范建议

目前防范挖矿病毒的主要措施有:

1、多台机器不要使用相同的账号和口令,登录口令要有足够的长度和复杂性,并定期更换登录口令;

2、定期检查服务器是否存在异常,查看范围包括但不限于:

  a)是否有新增账户、未知进程;

  b)系统日志是否存在异常;

  c)杀毒软件是否存在异常拦截情况;

3、定期检测电脑、服务器、WEB网站中的安全漏洞,及时更新补丁;

4、对于服务器,建议配置访问控制,仅允许授权IP访问;

5、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护;

6、从正规渠道下载安装软件,不安装未知的第三方软件,不点击未知的链接。文章来源地址https://www.toymoban.com/news/detail-710422.html

到了这里,关于“挖矿”病毒排查处置方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒

    五星红旗在bg飘扬——中国黑客的复仇 这里的“挖矿”只是个说法不是拿着锄头进矿洞,是指一段时间内在比特币系统中发生的交易进行确认,并记录在 区块链 上,形成新的区块,而挖矿的人叫作 矿工 。比特币系统的记账权利是去中心化的,即每个矿工都有记账的权利,只

    2023年04月15日
    浏览(50)
  • 注意Libgcc_a挖矿病毒传播!内附自查方法

    近期,我们监测发现一种新型劫持变种病毒,经分析其主体程序为XMrig挖矿病毒家族的变种,该病毒具有较强的顽固性和隐蔽性,难以被查杀,进程杀死后自启动。此外该类病毒还会更改主机配置,重定向端口至远程服务器,通过github下载开源的暴力破解工具对内网主机进行

    2024年02月06日
    浏览(35)
  • DarkKomet病毒研究与处置

    DarkKomet 是一类后门木马程序的总称,主要功能主要是对用户行为进行监控,并为攻击者开启系统后门,窃取用户信息,该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者

    2024年02月11日
    浏览(40)
  • 麻辣香锅病毒处置

    “麻辣香锅“病毒由于其早期版本病毒模块所在目录为” Mlxg_km “因此得名,该病毒通过小马激活,暴风激活,KMS激活等激活工具进行传播,用户中毒后首页会被劫持到病毒作者预设的跳转链接 病毒恶意行为流程图,如下图所示: wrme.exe模块会启动执行模块wuhost.exe和wdlogin

    2023年04月08日
    浏览(46)
  • 挖矿病毒应急响应思路,挖矿病毒事件处理步骤

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 比特币系统每隔一段时间就会在节点上生成一个 「随机代码」 ,互联网中的所有设备都可以寻找这个代

    2024年02月10日
    浏览(45)
  • 阿里云挖矿病毒解决

    有一次,我们在阿里上的服务器收到这样的短信。 【阿里云】尊敬的xxxxxx:  经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站

    2024年02月08日
    浏览(40)
  • 电脑是否中挖矿病毒

    『壹』 怎么检查自己电脑有没有被人用来挖矿,比特币 挖矿都是烧的显卡,以下方法可以鉴定自己显卡是不是矿卡 1:通过肉眼来识别这个硬件究竟是不是矿卡 ,其实通过其他方式也可以测出,就比如说你到电脑里面去测矿卡的超频性能,去跟官方的数据进行对比,测矿卡

    2023年04月09日
    浏览(39)
  • 记一次挖矿病毒的溯源

    ps:因为项目保密的原因部分的截图是自己在本地的环境复现。 1. 起因 客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用

    2024年02月04日
    浏览(47)
  • 记·Linux挖矿病毒应急响应

    朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。 top查看cup发现占用300%,确实是被用来挖矿了。 查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事? 查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,

    2024年02月13日
    浏览(49)
  • 服务器挖矿病毒怎么解决

    挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。

    2024年02月16日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包