今天突然收到“阿里云”的告警短信: 尊敬的****:云盾云安全中心检测到您的服务器:*.*.*....网上查了下,发现这是一款在Linux/Windows双平台的挖矿病毒木马,该木马是通过Redis漏洞传播的挖矿木马DDG的变种,使用Go语言1.10编译使用了大量的基础库文件。...注:DDG挖矿病毒是一款在Linux系统下运行的恶意挖矿病毒,该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币,此病毒样本在一年左右的时间,已开发出了DDG.3012/DDG3013...#病毒清除(第二次)# 没过多久,再次收到“阿里云”报警短信: 云盾检测到您的服务器正在通过HTTP请求,尝试连接一个可疑恶意下载源,可能是黑客通过运行指令、恶意进程等方式从远程服务器下载恶意文件,危害服务器安全...; 清除日志; 关闭SELinux; …… 还有个后门,创建/root/.ssh/authorized_keys,添加病毒作者自己的公钥,保证其可以使用SSH登录到服务器,具体代码如下: ... chmod
起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。 登录服务器后,首先使用Top命令,查看CPU占用。 ?...进入bin目录按照时间排序就发现了修改时间为19年2月8日的khugrepaged。正好是CPU第一次100%那天,阿里云发出警告的那天。 ?...因为一般挖矿软件都是开源程序,病毒只是给与他特定的参数为病毒作者挖矿。 这时我首先想到去查看有无定时任务。 通过crontab -l查看所有的定时任务。 ?...(对的,这个病毒还帮你杀毒23333)然后通过 hxxp://166.78.155.151/164 下载挖矿软件并运行。...剩下的就是把相关操作逆操作回来就好了。其实把这几个文件删了之后也就没什么大问题了。 令人惊讶的是,scsitgtd文件在VT上还没有一家报毒。23333,我是第一个上传的。 ?
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 ?...通过 crontab -l 查看是否有可疑的计划任务。...第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -...云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。...公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。 小结:以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。
关注腾讯云安全获取更多资讯 点右下角的【好看】 做个更好看的人 var first_sceen__time = (+new Date());if ("" == 1 && document.getElementById...mmbizwap/zh_CN/htmledition/style/page/appmsg_new/winwx45ba31.css"; head.appendChild(link); } })(); 云鼎实验室...赞赏 长按二维码向我转账 受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。...阅读 分享 在看 已同步到看一看 取消 发送 我知道了 朋友会在“发现-看一看”看到你“在看”的内容 确定 已同步到看一看写下你的想法 最多...200字,当前共字 发送 已发送 朋友将在看一看看到 确定 写下你的想法...
事情起因:同事解决服务器中挖矿病毒的过程 可以看到,病毒的主要起因是利用了Linux预加载型恶意动态链接库的后门,关于Linux预加载的知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库的后门...观察其他被覆写的函数可以发现基本上都是类似的操作,如果文件名不是上面三个就执行原来的操作,如果是的话就直接返回无效值。...通过同样的操作查找到 netstat 所属包是 net-tools,但是GNU上并没有 net-tools 包,搜索发现该包属于单独的项目,下载下来后分析,该函数会读取 /proc/net/tcp 文件...仅删除 crontab 脚本并不能起到作用,然后因为病毒的自我保护措施,覆盖了几乎所有能操作到病毒的命令,所以也很难通过系统命令来清除病毒链接库。...然后清除病毒链接库,但是因为系统命令都已被劫持,所以平常的调用系统命令并不能起到效果,但是可以通过静态编译 busybox 然后执行命令来达到清除文件的目的。
作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。...火绒、腾讯管家等)查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成,不能完全清除病毒...连杀软清除不了的病毒,只能手工来吧,个人比较偏好火绒,界面比较简洁,功能也挺好用的,自带的火绒剑是安全分析利器。于是安装了火绒,有了如下分析排查过程。...停止并禁用服务,再清除NerworkDistribution目录后,重启计算机。异常请求和目录的现象消失。 又排查了几台,现象一致,就是服务项的名称有点变化。 ? 如何清除病毒呢?...: NrsMiner:一个构造精密的挖矿僵尸网络 https://www.freebuf.com/articles/system/162874.html 根据文章提示,这个病毒的构造非常的复杂,主控模块作为服务
mac如何清理缓存?每一台mac电脑使用之后会出现卡顿的现象,都需要我们不断维护才能更好的运行,长期使用。...尽管网上一直流传着多种清理Mac的操作方法,但不少Mac用户仍在为如何清理Mac系统中的文件缓存十分烦恼,不过一些新手用户还不知道如何清理小编本集为大家带来了快速清理的使用技巧,这种方法你一定可以立即掌握...清除「快速预览」缓存 1.打开「终端」。 2.输入以下命令,并回车。.../C/com.apple.QuickLook.thumbnAIlcache/ 以上就是小编分享的Mac上「快速预览」的缓存小技巧,欢迎关注小编为你带来更多Mac小技巧。
近年来,企业受到勒索病毒攻击的事件层出不穷,带来了很多严重危害。随着企业上云,云上企业面对勒索病毒是否更安全?又应该如何防范呢?云鼎实验室作为腾讯云安全的护航者,一直以来都致力于打造最安全的产业云。...如何甄别是否感染勒索病毒 通常来说勒索病毒都会有一系列恶意行为,主要包括对服务器的所有文件或仅对数据库文件进行加密(一般同时使用多种标准加密算法进行加密,比如AES、RSA);修改桌面壁纸或弹出提示窗口...当服务器、数据库无法正常运作(比如服务器无法登录);访问服务器、数据库出现勒索提示信息(比如连接服务器或数据库时出现索要赎金信息);文件名被修改,添加后缀名(比如在文件名后添加随机字符),那么你很有可能已经成为勒索病毒的受害者...云上勒索病毒,企业应如何防范 勒索病毒的不断涌现,首当其冲要做的就是维护租户安全。...总的来说,面对频发的企业云上勒索事件,云鼎实验室方面建议大家事前做好相应的防御,做好数据的监测备份和服务器的加固。
操作步骤 使用控制台从实例创建 使用 API 创建 关机实例(可选) 登录 云服务器控制台,查看对应实例是否需进行关机。 需要,则继续执行步骤。 不需要,请执行 制作自定义镜像 步骤。...您可单击左侧导航栏中的 镜像,在“镜像”页面中查看镜像的创建进度。...使用自定义镜像创建实例(可选) 待镜像完成创建后,在镜像列表中选择您创建的镜像,单击其所在行右侧的创建实例,即可购买与之前相同镜像的服务器。...如下图所示: 推荐阅读 数据盘数据迁移(支持云硬盘快照复制跨地域迁移)!!!...msp迁移服务平台 如果您需要在启动新实例时同时保留原有实例数据盘上的数据,您可以先对数据盘做 快照,并在启动新实例时使用该数据盘快照创建新的云硬盘数据盘。 更多相关信息,请参阅 快照创建云硬盘。
且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。...感染现象 被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符: ? 查看进程对应的可执行文件,是以一串疑似MD5的字符命名(并非文件真实MD5),但已经被删除: ?...bash-02 内网传播 主要功能为下载脚本卸载安防产品(其中阿里云的安骑士、腾讯云的云镜等产品): ? 下载可执行文件trc和bot: ?...利用运维工具(ansible、knife、salt)对内网服务器进行批量感染,利用ssh远程执行命令,命令通过base64解码后是下载病毒母体int: ?...bash-03 竞争对手清理 清除服务器上其他的挖矿木马,改写hosts文件让其他挖矿无法访问对应的域名,以达到独占的目的: ? bash-04 下载挖矿 下载可执行文件cpu: ?
那么,know it and destroy it,让我们更深入地了解挖矿病毒的工作原理,以及我们如何识别和清理它。 01. 什么是挖矿病毒? 要了解挖矿病毒,首先我们要知道什么是挖矿程序。...识别挖矿病毒 挖矿病毒对于IT业务和设备的影响极大,如果发现您的服务器不太对劲,例如它的性能变慢或频繁宕机,则很有可能感染了病毒。...清除挖矿病毒 清除挖矿病毒需要专业的技术知识,贸然采取不正确的操作可能导致设备无法正常运行。因此,建议购买使用第三方安全软件和技术服务,扫描您的服务器设备,确保病毒被彻底清除。 06....预防挖矿病毒 随着数字货币的发展,我们应该更加重视挖矿病毒带来的威胁,请定期更新服务器最新安全补丁更新,谨慎访问网站,不下载安装来源不明的文件或软件,并定期巡检IT运行情况以获得更有效的保护。...“专家级技术服务”能帮您在故障影响范围扩散前,快速提供专业修复方案,从根源上彻底解决问题,起到技术“兜底”的功效
引言 云主机用户面临的首要安全问题是非法挖矿。 非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页,故基于浏览器的挖矿在公有云上并非较大的威胁。...反之,云上基于木马文件的入侵挖矿事件层出不穷,黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益,使得用户 CPU 等资源被耗尽,正常业务受到影响。...云上主机被入侵挖矿,大部分情况是通用漏洞导致的,主要分为基线漏洞、系统漏洞和组件漏洞 基线漏洞: Redis未授权:Redis开放端口到公网,且未设置密码,或设置了弱密码 SSH暴力破解:Linux登录密码强度太弱...入侵挖矿的危害 入侵挖矿一般会占用用户的机器资源,造成用户机器卡顿。除此之外,一般入侵挖矿攻击中,攻击者还会留下隐藏后门,使得挖矿病毒难以清除,并为病毒家族的升级留下通道。...2.入侵挖矿软件往往会在各处角落放置后门文件,为避免有残留的有害文件或进程,建议重装系统, 如何预防入侵挖矿 1.及时更新操作系统以及各类软件补丁,关注服务器中使用到的组件是否存在漏洞,推荐使用腾讯云安全运营中心
腾讯安全旗下腾讯安全联合实验室反病毒实验室和腾讯安全联合实验室云鼎实验室联合响应小组,就发现的多起针对腾讯云Win平台的入侵和资源盗窃攻击进行了分析,这些攻击主要集中在内网入侵、挖矿、肉鸡利用、DDoS...我们该如何防范这些风险呢?请看下文。...一般通过什么途径在云上传播呢?让我们接着看: 1,Nitol僵尸网络家族,腾讯反病毒服务检出为Lapka和Macri。会感染内网其他机器。 我们在多台服务器上检出了该样本五花八门的变种。...下图是在我们帮助下清理威胁的一位客户机器上的漏洞套件文件: [图片] 2,Remoh,CoinMiner家族。入侵后偷偷在后台挖矿。 这类样本会偷偷地在后台挖矿,耗掉你大部分cpu资源。...4, 开启腾讯云上“云镜”主机防护服务,“云镜”已全面接入Tav反病毒引擎。无须担心上述威胁侵袭。
腾讯安全旗下腾讯安全联合实验室反病毒实验室和腾讯安全联合实验室云鼎实验室联合响应小组,就发现的多起针对腾讯云 Win 平台的入侵和资源盗窃攻击进行了分析,这些攻击主要集中在内网入侵、挖矿、肉鸡利用、DDoS...病毒频繁的活动引起了我们的注意,接下来,我们就对这几类病毒抽丝剥茧,详细审视一番。 威胁详解 那么这些威胁有什么特点呢?一般通过什么途径在云上传播呢?...让我们接着看: 一、Nitol 僵尸网络家族,腾讯反病毒服务检出为 Lapka 和 Macri,会感染内网其他机器 我们在多台服务器上检出了该样本五花八门的变种。...下图是在我们帮助下清理威胁的一位客户机器上的漏洞套件文件: ? 二、Remoh、CoinMiner 家族,入侵后偷偷在后台挖矿 这类样本会偷偷地在后台挖矿,耗掉你大部分 cpu 资源。...4 > 开启腾讯云上“云镜”主机防护服务,“云镜”已全面接入 Tav 反病毒引擎。
在这个互联网发达的时代,我们不再局限于线下。在网络上,有一种专门为互联网用户提供服务的平台,它就是网络、计算、存储三方面组成的服务器——云服务器。...而我们活跃在互联网中,同时也缺少了对云服务器的了解与深入,关于云服务器如何登陆?如何使用?如何备份?大概都还是半知半懂,今天这篇文章就来帮助大家深入了解云服务器。 云服务器如何使用?...输入云服务器的IP地址进行连接,连接后再输入账户密码,登陆成功后就可以看见桌面上出现云服务器的操作桌面啦! 云服务器如何备份?...云服务器的备份相对来说也是比较容易的,最快捷简单的方法:首先点击云服务器的“云服务器ECS”,左侧可找到“存储与快照”、“云盘”,右侧可以找到需要备份的云盘,后方点击“创建快照”,设置好快照的各个参数,...许多朋友都在问,云服务器怎么登陆呢?懒得花钱去问服务商的可以看看这篇文章,会让你受益匪浅。那到底window系统上云服务器如何登陆?
').OA3xOriginalProductKey" 普通云服务器上,上面命令执行结果为空,为啥为空,执行powershell "(Get-WmiObject -query 'select * from...SoftwareLicensingService')"就能看到 那如何查看productkey呢?...有个第三方软件ProduKey可以查看,不过这个软件会被一些安全软件自动拦截甚至自动清理比如360和server 2016 、2019上的windows defender,由于defender太敏感了,...www.nirsoft.net/utils/product_cd_key_viewer.html 双击ProduKey.exe打开图形界面即可看到windows product key,例如 补充:以备不时之需 腾讯云公共镜像...、now.exe等命令,我测试在WinAll上能运行。
今天碰到一个客户的网站,采用的是Cloudways的服务器,搭建的WordPress网站当手机访问的时候会自动跳转到第三方广告网站,这就是很明显的中病毒的症状。...本文记录一下如何清理掉的这个广告跳转病毒。...和以前碰到的广告跳转病毒原理差不多,都是通过插件或者WordPress本身的漏洞,在服务器上传了病毒文件,比如在index.php文件下面,我们发现了这一串加密的代码。<?...,不用解密都知道这个是病毒文件,正常的WordPress程序文件都是开源的,不会出现加密的代码。...最后,Cloudways上的网站中毒后处理步骤:备份一个中毒状态的网站数据备用;删除除了wp-content/uploads文件夹之外的所有文件和文件夹(需要联系客服帮你删除,不然权限不够)重新下载WordPress
一、背景 腾讯安全云鼎实验室持续监控云原生在野攻击威胁态势,继DockerHub发现百万下载量黑产镜像(详见文章DockerHub再现百万下载量黑产镜像,小心你的容器被挖矿)之后,近期实验室最新捕获到TeamTNT...该样本属于最新版本TEAMTNT样本,被云鼎实验室哨兵系统(云上分布式蜜罐和沙箱)第一时间捕获。...攻击者可进一步利用Docker自身特性,直接访问宿主机上的敏感信息,或对敏感文件进行修改,最终完全控制服务器。...通过腾讯云容器安全服务TCSS发现存在Remote API未授权访问风险节点和详细信息: 3.2 攻击向量-执行: 在目标机器上的命令执行通过特权容器执行恶意指令,进行挖矿和病毒传播。...通过腾讯云容器安全服务TCSS对该镜像进行扫描,发现该镜像存在木马病毒,扫描结果如下图: 镜像启动时会执行名为pause的脚本,pause脚本用于病毒的传播。
当这些内核后门病毒加载执行后,病毒模块便会受到病毒驱动的保护,普通扫描就无法查杀病毒文件。所以当用户遇到顽固的锁首病毒时,可以尝试使用火绒提供的专杀工具配合全盘查杀清除病毒。...相关病毒事件数据,如下图所示: ? 勒索病毒主要传播方式 ? 勒索病毒植入途径占比图 特别需要关注,一些企业内部服务器通常会对外网开放服务端口,进而使此类服务器极易成为黑客进入企业内网的跳板。...通过数据统计,我们发现有38%的勒索病毒问题与企业所使用的服务器相关,甚至个别企业对外网开放的服务器中存在较为严重安全问题,如:弱口令、高危系统漏洞等。...对于感染型病毒,火绒的处理策略是清除被感染文件中的病毒代码,同时我们也在不断更新以支持更多的感染型病毒的清除。...2020年火绒涉及“弱口令”报告如下: 《默认账户居然是黑客入侵高频通道 火绒防护措施在这里》 《勒索病毒持续高发 企业用户如何警惕弱口令防护短板》 ? “横向渗透”是企业遭遇的另一大常见安全问题。
本篇是第二期,讲述了国内某高端制造厂商遭遇云上在野容器攻击,和腾讯安全并肩作战,击退挖矿黑产组织的故事。图片9月14日,午后。阳光透过棕黄色的椴树叶,一缕缕撒在湖面上,泛出了碎金子的光。...X团伙是近两年极其高调的挖矿家族,坐标D国,他们控制着规模庞大的僵尸网络,有着先进且快速更新的攻击工具库,是目前针对Linux服务器进行挖矿的主要攻击组织之一。...实际上,入侵者TOM在植入挖矿病毒后,通过新工具隐藏了挖矿进程,并且将痕迹清理干净了。S公司发现的时候,TOM已经通过特权模式+SSH的逃逸方法,逃逸到宿主机上,并且将挖矿病毒扩散到了容器节点上。...Eric迅速把主机断网,然后用杀毒软件将挖矿木马清除。但是,Eric不敢确定其他节点上是否也被植入了挖矿木马,他的神经紧绷着。...S公司是国内知名的高端制造企业,也是行业内最早进行数字化转型的企业之一,在前几年就开始探索云原生技术和业务容器化。虽然国内的容器起步较晚,但是在国际上,容器概念已经登上了尖端计算技术的最前沿。
领取专属 10元无门槛券
手把手带您无忧上云