首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

服务器木马怎么处理

独享,使用的是阿里ECS服务器,在被黑客攻击之前,收到过阿里的短信,提示服务器在异地登录,我们SINE安全技术跟客户对接了阿里的账号密码以及服务器的IP,SSH端口,root账号密码。...服务器被入侵植入了挖矿木马病毒,植入木马的手法很高明,彻底的隐藏起来,肉眼根本无法察觉出来,采用的是rootkit的技术不断的隐藏与生成木马。 ?...那么服务器到底是如何被植入木马,被攻击的呢?...经过我们SINE安全2天2夜的不间断安全检测与分析,终于找到服务器被攻击的原因了,是网站存在漏洞,导致上传了webshell网站木马,还留了一句话木马,攻击者直接通过网站漏洞进行篡改上传木马文件到网站根目录下...,并提权拿到服务器的root权限,再植入的挖矿木马

3.5K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Spy Banker木马新变种Telax利用谷歌服务器进行传播

    安全公司Zscaler发现一种新型恶意活动,它基于一种新型的Spy Banker网银恶意软件Telax,利用谷歌服务器来驻留木马下载器,且主要通过社交媒体平台(主要为Facebook)来感染用户。...这款恶意软件的作者利用谷歌服务器来驻留初始的Spy Banker下载器Trojan,它主要负责下载并安装Spy Banker木马Telax。”...Telax原理分析 恶意URL指向一台托管在谷歌服务器上的服务器,上面驻留着将会植入到受害者电脑中的Spy Banker下载器。...然后,下载器会下载Spy Banker木马Telax,它的目的是窃取用户的在线网银凭证。 在Zscaler分析的样本中,短URL指向一个PHP文件,该文件驻留在一台谷歌服务器上。...谷歌服务器已清理 谷歌已经清理所涉及的服务器的恶意活动。Zscaler说道: 需要重点注意的是,谷歌已经清理了服务器,所以现在通过这两个在线网站重定向将会返回404的结果。”

    1.1K50

    “暗”BootKit木马详细技术分析

    “暗木马简介: “暗”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。...第二、思想在暗木马中的使用:木马以轻量级的身躯隐藏于磁盘最前端的30个扇区中,这些常驻与系统中代码并没有传统木马的功能,这些代码的功能仅仅是到执行的服务器(云端)下载其他功能代码到内存中直接执行,这些功能模块每次开机都由隐藏的模块从云端下载...常见的木马使用的通信方式则是在Ring0对指定的API函数进行Hook,而暗木马是通过注册回调的方式来实现。...暗木马启动流程图(图中按红紫绿黑分四个模块) ? 图2 ....暗木马模块功能分工示意图 一、常驻计算机模块(MBR)行为 概述: 电脑开机后,受感染的磁盘MBR第一时间获得CPU的控制权,其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行,木马主体获得执行后通过挂钩

    2.1K60

    linux服务器被入侵查询木马

    记录一次查询清除木马过程  木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器被扫描后...,出现莫名进程,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆服务器发现一个进程直接懵了,清掉我ROOT所有文件。...明显不认识呐,我的服务器跑了什么我还不知道? 干掉!咦,干掉自己起来。明显是自启!!! 查,/etc/rc.local 1 2 ?...对比下其他在正常服务器的显示如下: ? 怒了有没有!明显换了。换成程序大小为1.2M的了。 那就删掉被更改的,从其他同配置服务器拷贝一份。 记的拷贝过来要给予755 权限。 1 ?...有: /usr/bin/bsd-port/getty、/usr/bin/dpkgd/ps /usr/bin/.sshd 1 2 哈哈,清理了这些服务器CPU立马从100%下来了。

    5.5K41

    服务器后门木马如何查找分析情报

    那这个时候你坐地铁或者坐高铁是不是就不行了,IP和域名的信誉度也是一样的,你一旦被标记为攻击IP或者木马反连,这时候对于我们来说,你这个IP就没有信誉度了,我发现你这个地址,我的服务在访问你,就怀疑它是攻击...他有这么多的信息,那咱们在比如互网的时候最关注的什么,他的IP的信息,查到他的IP了,快速检索咱们的网络设备和安全设备,看有没有此IP发送的请求,或者从内部向他发送的请求,搜索一下这个IP地址是什么,那就不能用砂箱...,还在微博在线刚才的搜索栏,这里边是它的一些信誉度,也就和咱们的信用卡一样,你消费过度了,看他执行了CS的木马,被人标记了这时候咱们就百分百确定它是一个攻击IP,那马上将它封禁就可以了。...那看一下,这是给大家特别特别推荐去查木马的一个沙箱,看我把刚才的恶意软件上传到上去,看这里边有相当多的杀毒软件,60%或者70以上都报它为恶意木马或者病毒后门,这时候你就肯定就要把 IP封禁了,就是说通过刚才微博在线就直接封禁了...关于威胁情报的就讲到这里如果遇到服务器中了后门木马无法查杀和排除的话可以向服务器安全服务商SINE安全寻求技术排查。

    1K20

    分析过程:服务器被黑安装Linux RootKit木马

    前言 疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...,如下所示: 笔者曾研究过多个基于Linux平台的RootKit家族样本,说不定你的服务器上就被安装了这些RootKit家族样本,RootKit包含应用层和驱动层,应用层主要使用的技术就是二次打包修改...最近几年随着计算的发展,原生安全似乎又成为了一个热点,同时eBPF技术的成熟与发展,又出现了一批基于eBPF技术的RootKit攻击技术,一些开源代码也被公布在了GitHub平台上面bad-bpf、...最近几年比较热门的原生安全技术,笔者通过深度研究一些原生安全攻击事件案例之后,发现其实原生安全技术底层对抗逻辑并没有太多的改变,只是增加了一些上层的东西,上层的东西对抗其实是比较简单的,解决起来并没有太大的技术难题

    1.6K50

    服务器被挖矿木马攻击该怎么处理

    ,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ?...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    4.1K20

    服务器被挖矿木马攻击该怎么处理

    ,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    3K10

    浅谈木马

    环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。...制作了一个很高很大的木马作为战神马,内部可装士兵,佯攻几天后装作无功而返,留下木马。特洛伊解围后认为自己胜利了,还看到了敌人留下的木马,便作为战利品收入城中,全城举杯庆祝。...(2)服务器服务器端程序 服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。 二、制作简易木马 此处我们利用msfvenom制作木马程序。...三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。...木马捆绑: 制作自解压木马(准备一个木马、一个图片、一个压缩软件即可) 攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。

    27320

    Linux服务器被入侵和删除木马程序过程

    一、背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。...我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,...配置文件包含木马运行所必须的各种数据,如管理服务器IP地址和端口、后门程序安装参数等。...根据配置文件中的g_iGatsIsFx参数值,木马或主动连接管理服务器,或等待连接:成功安装后,后门程序会检测与其连接的站点的IP地址,之后将站点作为命令服务器。...与命令服务器设置连接后,Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。

    4.4K130

    服务器存在SSH木马后门怎么清除和查找

    关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的...,或者是横向打穿了某一台服务器,以另一台服务器作为跳板跳到其他服务器上。...比如我现在想要登录这台服务器,我就有账号密码,那看一下咱们现在这里有什么账户,只有一个whale Labe,这个账户就是咱们目前登录的,那攻击者新创建一个账户可不可能,那是可以的,比如我现在创建一个叫hack...,但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商寻求技术支持

    1.4K10

    Nanocore等多个远控木马滥用公有服务传播

    攻击者越来越多的采用来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。...从 2021 年 10 月 26 日开始,研究人员发现多个远控木马开始通过服务进行投递传播。 感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。...△ 感染链 攻击者使用的远控木马是 Netwire、Nanocore 和 AsyncRAT,并且利用免费动态 DNS 服务 DuckDNS 注册了多个恶意域名。...△ PowerShell 感染链 攻击基础设施 攻击者维护了一个分布式攻击基础设施,包括下载服务器、C&C 服务器和恶意域名,下载服务器利用 Microsoft Azure 或 AWS 的服务。...一些下载服务器运行的是 Apache 服务器: △ 开放目录 每个远控木马都根据配置文件连接对应的 C&C 服务器,IP 地址如下所示: 103.151.123.194 185.249.196.175

    1.1K20

    Confluence服务器挖矿木马处理报告(CVE-2021-26084)

    1 事件回顾 1.1 发现异常 IDS日志巡检中发现一条连接矿池服务器的日志,按照以往的经验,看来又有一台服务器沦为矿机了。...经查,这台主机是Atlassian confluence服务器,目前版本是V7.5.1,对外开通80和443端口。...所以排查的思路分两方面:排查是否有已知漏洞;找到木马程序及时清理。...2 排查步骤 2.1服务器漏洞扫描 漏扫结果发现两个漏洞,其中一个是nginx任意代码执行漏洞,需升级到最新版可以解决,立即完成升级并重启服务;另一个是jira相关漏洞,不过该漏洞是DDoS漏洞,与本次被中木马应该关系不大...2.8 死灰复燃 9月6日(周一)一大早到单位先巡检一遍安全设备,发现confluence服务器又中木马了,而且这回威胁事件也多了,包括DDoS、矿池连接、公共矿池、恶意软件和僵尸网络,查看关联实体高达

    1.3K10
    领券