首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

挖矿病毒DDG分析与清除

今天突然收到“阿里告警短信: 尊敬****:盾云安全中心检测到您服务器:*.*.*....网上查了下,发现这是一款在Linux/Windows双平台挖矿病毒木马,该木马是通过Redis漏洞传播挖矿木马DDG变种,使用Go语言1.10编译使用了大量基础库文件。...注:DDG挖矿病毒是一款在Linux系统下运行恶意挖矿病毒,该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币虚拟币货币,此病毒样本在一年左右时间,已开发出了DDG.3012/DDG3013...#病毒清除(第二次)# 没过多久,再次收到“阿里”报警短信: 盾检测到您服务器正在通过HTTP请求,尝试连接一个可疑恶意下载源,可能是黑客通过运行指令、恶意进程等方式从远程服务器下载恶意文件,危害服务器安全...; 清除日志; 关闭SELinux; …… 还有个后门,创建/root/.ssh/authorized_keys,添加病毒作者自己公钥,保证其可以使用SSH登录到服务器,具体代码如下: ... chmod

2.8K20

记一次Linux挖矿病毒清除

起因是同学过年期间因阿里服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。 登录服务器后,首先使用Top命令,查看CPU占用。 ?...进入bin目录按照时间排序就发现了修改时间为19年2月8日khugrepaged。正好是CPU第一次100%那天,阿里发出警告那天。 ?...因为一般挖矿软件都是开源程序,病毒只是给与他特定参数为病毒作者挖矿。 这时我首先想到去查看有无定时任务。 通过crontab -l查看所有的定时任务。 ?...(对,这个病毒还帮你杀毒23333)然后通过 hxxp://166.78.155.151/164 下载挖矿软件并运行。...剩下就是把相关操作逆操作回来就好了。其实把这几个文件删了之后也就没什么大问题了。 令人惊讶是,scsitgtd文件在VT还没有一家报毒。23333,我是第一个上传。 ?

10K32
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

    症状表现 服务器CPU资源使用一直处于100%状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 ?...通过 crontab -l 查看是否有可疑计划任务。...第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -...主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器iptables 来开放出入口流量规则。...公司有能力可以搭建安全扫描服务,定期检查机器漏洞并修复。 小结:以上例举几点措施,不全。这里只是抛砖引玉效果,更多措施需要结合自己业务实际情况,否则就空中楼阁。

    7.2K60

    解析近期爆发服务器挖矿病毒原理

    事情起因:同事解决服务器挖矿病毒过程 可以看到,病毒主要起因是利用了Linux预加载型恶意动态链接库后门,关于Linux预加载知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库后门...观察其他被覆写函数可以发现基本都是类似的操作,如果文件名不是上面三个就执行原来操作,如果是的话就直接返回无效值。...通过同样操作查找到 netstat 所属包是 net-tools,但是GNU并没有 net-tools 包,搜索发现该包属于单独项目,下载下来后分析,该函数会读取 /proc/net/tcp 文件...仅删除 crontab 脚本并不能起到作用,然后因为病毒自我保护措施,覆盖了几乎所有能操作到病毒命令,所以也很难通过系统命令来清除病毒链接库。...然后清除病毒链接库,但是因为系统命令都已被劫持,所以平常调用系统命令并不能起到效果,但是可以通过静态编译 busybox 然后执行命令来达到清除文件目的。

    1.9K10

    如何处理那些杀软都清除不了病毒

    作为一个运维工程师,而非一个专业病毒分析工程师,遇到了比较复杂病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维经验,我们可以用自己方式来解决它。...火绒、腾讯管家等)查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成,不能完全清除病毒...连杀软清除不了病毒,只能手工来吧,个人比较偏好火绒,界面比较简洁,功能也挺好用,自带火绒剑是安全分析利器。于是安装了火绒,有了如下分析排查过程。...停止并禁用服务,再清除NerworkDistribution目录后,重启计算机。异常请求和目录现象消失。 又排查了几台,现象一致,就是服务项名称有点变化。 ? 如何清除病毒呢?...: NrsMiner:一个构造精密挖矿僵尸网络 https://www.freebuf.com/articles/system/162874.html 根据文章提示,这个病毒构造非常复杂,主控模块作为服务

    9.4K50

    勒索病毒攻击事件频发,企业如何应对

    近年来,企业受到勒索病毒攻击事件层出不穷,带来了很多严重危害。随着企业企业面对勒索病毒是否更安全?又应该如何防范呢?鼎实验室作为腾讯云安全护航者,一直以来都致力于打造最安全产业。...如何甄别是否感染勒索病毒 通常来说勒索病毒都会有一系列恶意行为,主要包括对服务器所有文件或仅对数据库文件进行加密(一般同时使用多种标准加密算法进行加密,比如AES、RSA);修改桌面壁纸或弹出提示窗口...当服务器、数据库无法正常运作(比如服务器无法登录);访问服务器、数据库出现勒索提示信息(比如连接服务器或数据库时出现索要赎金信息);文件名被修改,添加后缀名(比如在文件名后添加随机字符),那么你很有可能已经成为勒索病毒受害者...勒索病毒,企业应如何防范      勒索病毒不断涌现,首当其冲要做就是维护租户安全。...总的来说,面对频发企业勒索事件,鼎实验室方面建议大家事前做好相应防御,做好数据监测备份和服务器加固。

    1.5K60

    实践】腾讯服务器如何创建镜像?

    操作步骤 使用控制台从实例创建 使用 API 创建 关机实例(可选) 登录 服务器控制台,查看对应实例是否需进行关机。 需要,则继续执行步骤。 不需要,请执行 制作自定义镜像 步骤。...您可单击左侧导航栏中 镜像,在“镜像”页面中查看镜像创建进度。...使用自定义镜像创建实例(可选) 待镜像完成创建后,在镜像列表中选择您创建镜像,单击其所在行右侧创建实例,即可购买与之前相同镜像服务器。...如下图所示: 推荐阅读 数据盘数据迁移(支持硬盘快照复制跨地域迁移)!!!...msp迁移服务平台 如果您需要在启动新实例时同时保留原有实例数据盘上数据,您可以先对数据盘做 快照,并在启动新实例时使用该数据盘快照创建新硬盘数据盘。 更多相关信息,请参阅 快照创建硬盘。

    24.5K11

    全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

    且该木马文件下载均利用暗网代理,感染后会清除主机上其他挖矿木马,以达到资源独占目的。...感染现象 被感染Linux服务器,可以明显看到一个CPU占用率很高进程,名字为随机字符: ? 查看进程对应可执行文件,是以一串疑似MD5字符命名(并非文件真实MD5),但已经被删除: ?...bash-02 内网传播 主要功能为下载脚本卸载安防产品(其中阿里安骑士、腾讯镜等产品): ? 下载可执行文件trc和bot: ?...利用运维工具(ansible、knife、salt)对内网服务器进行批量感染,利用ssh远程执行命令,命令通过base64解码后是下载病毒母体int: ?...bash-03 竞争对手清理 清除服务器其他挖矿木马,改写hosts文件让其他挖矿无法访问对应域名,以达到独占目的: ? bash-04 下载挖矿 下载可执行文件cpu: ?

    1.6K31

    一体化运维:挖矿病毒可能正在蚕食你IT资源

    那么,know it and destroy it,让我们更深入地了解挖矿病毒工作原理,以及我们如何识别和清理它。 01. 什么是挖矿病毒? 要了解挖矿病毒,首先我们要知道什么是挖矿程序。...识别挖矿病毒 挖矿病毒对于IT业务和设备影响极大,如果发现您服务器不太对劲,例如它性能变慢或频繁宕机,则很有可能感染了病毒。...清除挖矿病毒 清除挖矿病毒需要专业技术知识,贸然采取不正确操作可能导致设备无法正常运行。因此,建议购买使用第三方安全软件和技术服务,扫描您服务器设备,确保病毒被彻底清除。 06....预防挖矿病毒 随着数字货币发展,我们应该更加重视挖矿病毒带来威胁,请定期更新服务器最新安全补丁更新,谨慎访问网站,不下载安装来源不明文件或软件,并定期巡检IT运行情况以获得更有效保护。...“专家级技术服务”能帮您在故障影响范围扩散前,快速提供专业修复方案,从根源彻底解决问题,起到技术“兜底”功效

    46110

    入侵挖矿处置方案、原因分析

    引言 主机用户面临首要安全问题是非法挖矿。 非法挖矿一般分为基于文件挖矿和基于浏览器挖矿。由于主机用户一般不使用浏览器访问网页,故基于浏览器挖矿在公有并非较大威胁。...反之,基于木马文件入侵挖矿事件层出不穷,黑客通过用户主机上通用安全问题入侵并进行挖矿来直接获取利益,使得用户 CPU 等资源被耗尽,正常业务受到影响。...主机被入侵挖矿,大部分情况是通用漏洞导致,主要分为基线漏洞、系统漏洞和组件漏洞 基线漏洞: Redis未授权:Redis开放端口到公网,且未设置密码,或设置了弱密码 SSH暴力破解:Linux登录密码强度太弱...入侵挖矿危害 入侵挖矿一般会占用用户机器资源,造成用户机器卡顿。除此之外,一般入侵挖矿攻击中,攻击者还会留下隐藏后门,使得挖矿病毒难以清除,并为病毒家族升级留下通道。...2.入侵挖矿软件往往会在各处角落放置后门文件,为避免有残留有害文件或进程,建议重装系统, 如何预防入侵挖矿 1.及时更新操作系统以及各类软件补丁,关注服务器中使用到组件是否存在漏洞,推荐使用腾讯云安全运营中心

    2.4K30

    服务首要威胁分析:用户如何保护自己资产?

    腾讯安全旗下腾讯安全联合实验室反病毒实验室和腾讯安全联合实验室鼎实验室联合响应小组,就发现多起针对腾讯Win平台入侵和资源盗窃攻击进行了分析,这些攻击主要集中在内网入侵、挖矿、肉鸡利用、DDoS...我们该如何防范这些风险呢?请看下文。...一般通过什么途径在上传播呢?让我们接着看: 1,Nitol僵尸网络家族,腾讯反病毒服务检出为Lapka和Macri。会感染内网其他机器。 我们在多台服务器检出了该样本五花八门变种。...下图是在我们帮助下清理威胁一位客户机器漏洞套件文件: [图片] 2,Remoh,CoinMiner家族。入侵后偷偷在后台挖矿。 这类样本会偷偷地在后台挖矿,耗掉你大部分cpu资源。...4, 开启腾讯镜”主机防护服务,“镜”已全面接入Tav反病毒引擎。无须担心上述威胁侵袭。

    3.3K20

    服务首要威胁分析:用户如何保护自己资产?

    腾讯安全旗下腾讯安全联合实验室反病毒实验室和腾讯安全联合实验室鼎实验室联合响应小组,就发现多起针对腾讯 Win 平台入侵和资源盗窃攻击进行了分析,这些攻击主要集中在内网入侵、挖矿、肉鸡利用、DDoS...病毒频繁活动引起了我们注意,接下来,我们就对这几类病毒抽丝剥茧,详细审视一番。 威胁详解 那么这些威胁有什么特点呢?一般通过什么途径在上传播呢?...让我们接着看: 一、Nitol 僵尸网络家族,腾讯反病毒服务检出为 Lapka 和 Macri,会感染内网其他机器 我们在多台服务器检出了该样本五花八门变种。...下图是在我们帮助下清理威胁一位客户机器漏洞套件文件: ? 二、Remoh、CoinMiner 家族,入侵后偷偷在后台挖矿 这类样本会偷偷地在后台挖矿,耗掉你大部分 cpu 资源。...4 > 开启腾讯镜”主机防护服务,“镜”已全面接入 Tav 反病毒引擎。

    1.2K40

    window系统服务器如何登陆

    在这个互联网发达时代,我们不再局限于线下。在网络,有一种专门为互联网用户提供服务平台,它就是网络、计算、存储三方面组成服务器——服务器。...而我们活跃在互联网中,同时也缺少了对服务器了解与深入,关于服务器如何登陆?如何使用?如何备份?大概都还是半知半懂,今天这篇文章就来帮助大家深入了解服务器服务器如何使用?...输入服务器IP地址进行连接,连接后再输入账户密码,登陆成功后就可以看见桌面上出现服务器操作桌面啦! 服务器如何备份?...服务器备份相对来说也是比较容易,最快捷简单方法:首先点击服务器服务器ECS”,左侧可找到“存储与快照”、“盘”,右侧可以找到需要备份盘,后方点击“创建快照”,设置好快照各个参数,...许多朋友都在问,服务器怎么登陆呢?懒得花钱去问服务商可以看看这篇文章,会让你受益匪浅。那到底window系统服务器如何登陆?

    10.3K30

    CloudWays网站中病毒之后如何清理

    今天碰到一个客户网站,采用是Cloudways服务器,搭建WordPress网站当手机访问时候会自动跳转到第三方广告网站,这就是很明显病毒症状。...本文记录一下如何清理掉这个广告跳转病毒。...和以前碰到广告跳转病毒原理差不多,都是通过插件或者WordPress本身漏洞,在服务器上传了病毒文件,比如在index.php文件下面,我们发现了这一串加密代码。<?...,不用解密都知道这个是病毒文件,正常WordPress程序文件都是开源,不会出现加密代码。...最后,Cloudways网站中毒后处理步骤:备份一个中毒状态网站数据备用;删除除了wp-content/uploads文件夹之外所有文件和文件夹(需要联系客服帮你删除,不然权限不够)重新下载WordPress

    21810

    再次捕获在野容器攻击,TeamTNT黑产攻击方法揭秘

    一、背景 腾讯安全鼎实验室持续监控原生在野攻击威胁态势,继DockerHub发现百万下载量黑产镜像(详见文章DockerHub再现百万下载量黑产镜像,小心你容器被挖矿)之后,近期实验室最新捕获到TeamTNT...该样本属于最新版本TEAMTNT样本,被鼎实验室哨兵系统(分布式蜜罐和沙箱)第一时间捕获。...攻击者可进一步利用Docker自身特性,直接访问宿主机上敏感信息,或对敏感文件进行修改,最终完全控制服务器。...通过腾讯容器安全服务TCSS发现存在Remote API未授权访问风险节点和详细信息: 3.2 攻击向量-执行: 在目标机器命令执行通过特权容器执行恶意指令,进行挖矿病毒传播。...通过腾讯容器安全服务TCSS对该镜像进行扫描,发现该镜像存在木马病毒,扫描结果如下图: 镜像启动时会执行名为pause脚本,pause脚本用于病毒传播。

    1.6K20

    2020火绒终端安全回顾:流氓病毒病毒逐利化

    当这些内核后门病毒加载执行后,病毒模块便会受到病毒驱动保护,普通扫描就无法查杀病毒文件。所以当用户遇到顽固锁首病毒时,可以尝试使用火绒提供专杀工具配合全盘查杀清除病毒。...相关病毒事件数据,如下图所示: ? 勒索病毒主要传播方式 ? 勒索病毒植入途径占比图 特别需要关注,一些企业内部服务器通常会对外网开放服务端口,进而使此类服务器极易成为黑客进入企业内网跳板。...通过数据统计,我们发现有38%勒索病毒问题与企业所使用服务器相关,甚至个别企业对外网开放服务器中存在较为严重安全问题,如:弱口令、高危系统漏洞等。...对于感染型病毒,火绒处理策略是清除被感染文件中病毒代码,同时我们也在不断更新以支持更多感染型病毒清除。...2020年火绒涉及“弱口令”报告如下: 《默认账户居然是黑客入侵高频通道 火绒防护措施在这里》 《勒索病毒持续高发 企业用户如何警惕弱口令防护短板》 ? “横向渗透”是企业遭遇另一大常见安全问题。

    1.9K40

    在野容器攻防战:“杀”不掉挖矿木马

    本篇是第二期,讲述了国内某高端制造厂商遭遇在野容器攻击,和腾讯安全并肩作战,击退挖矿黑产组织故事。图片9月14日,午后。阳光透过棕黄色椴树叶,一缕缕撒在湖面上,泛出了碎金子光。...X团伙是近两年极其高调挖矿家族,坐标D国,他们控制着规模庞大僵尸网络,有着先进且快速更新攻击工具库,是目前针对Linux服务器进行挖矿主要攻击组织之一。...实际,入侵者TOM在植入挖矿病毒后,通过新工具隐藏了挖矿进程,并且将痕迹清理干净了。S公司发现时候,TOM已经通过特权模式+SSH逃逸方法,逃逸到宿主机上,并且将挖矿病毒扩散到了容器节点。...Eric迅速把主机断网,然后用杀毒软件将挖矿木马清除。但是,Eric不敢确定其他节点是否也被植入了挖矿木马,他神经紧绷着。...S公司是国内知名高端制造企业,也是行业内最早进行数字化转型企业之一,在前几年就开始探索原生技术和业务容器化。虽然国内容器起步较晚,但是在国际,容器概念已经登上了尖端计算技术最前沿。

    90830
    领券