病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
通过文件夹的创立时间快速推断出如何被感染 last登陆时间 last登陆失败的时间爆破的ip来定位出第一个中毒主机; –修复漏洞、清理后门、(关门,打狗) 6、防护策略-避免再犯同样问题–安全建议 IPtable吧挖矿常见端口全切断
而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。...58 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/8 常规做法 针对该挖矿病毒...,一般常规做法是 1、查找出具体哪个进程导致占比CPU;比如269; 2、kill 掉该挖矿进程;sudo kill -9 48124; 3、通过关键词查找挖矿病毒,一般在/tmp 目录底下,如果不清楚查找...说明挖矿病毒是通过早期开放的外网22号端口进行入侵,然后别人用爆破的方式通过22端口植入病毒,root等账号密码被破解。.../agent_installer.sh 5、执行完成,终端的agent程序将自动连接EDR管理中心 通过云查杀病毒 口令检测 SSH策略检测 身份鉴别策略组检测 对一些已感染的文件进行隔离病毒
这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDoS 攻击;另外一种是挖矿程序,除了发包之外...下面记录一下病毒的行为和查杀方法。...XMR 挖矿程序 2.1 病毒特征 第二种病毒是门罗币(XMR)挖矿程序,门罗币似乎是今年年初涨得很快,所以用病毒入侵挖矿的手法也就出现了,病毒主要是通过下载脚本,运行后下载并启动挖矿程序来工作,脚本的内容如下...,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里面讲的非常详细。...参考资料 XMR恶意挖矿案例简析 金山云安珀实验室千里追踪75万台“肉鸡”控制源 记一次排除十字符libudev.so病毒的过程 FreeBuf 发布者:全栈程序员栈长,转载请注明出处:https://
今天上服务器一查看cpu被占满了,使用了top命令一看,好家伙看到 kthreaddi 进程占用cpu300% 老子气坏了,没碰见过,什么是kthreaddi 白百度了一圈,原来【 kthreaddi 】是挖矿病毒...果然有一条定时任务,更加可气的是找不到这个文件 解决办法:删除这条命名,然后又top命名 kill -9 PID 杀死进程 貌似解决了问题 但是过一会 又创建了进程,定时任务又被重新写入了 这次我就查看挖矿进程的执行文件链接
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
昨天一台服务器发生挖矿病毒事件,现象是CPU干到100,内存剩余不多。
Linux watchdogs 感染性隐藏挖矿病毒。 网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的挖矿病毒。...经过几天测试,确认了我方感染源为 jenkins ,关闭服务,服务器挖矿病毒终于彻底解除 也有可能会是其他的服务,需要自行确认。
Linux被kdevtmpfsi挖矿病毒入侵 一....二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示 netstat -antp 二.解决问题 一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后...kinsing 最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除 find / -name kdevtmpfsi find / -name kinsing 三.怎么预防处理这个病毒
通过 google搜索,发现这是挖矿病毒。...[image.png] 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi
> busybox top [image-20210629223207356] 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这,一看就不是什么好东西...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 [image-20210629224536853] 原来在 tmp下面有文章 ,但是被 deleted...dHyUxCd/ > ls -al [image-20210629225014529] config.json 里面都是一些配置,里面找到一个美国的IP [image-20210629225502368] 清理病毒...删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。
> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试 > kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 image-20210629224536853 原来在 tmp下面有文章 ,但是被 deleted...dHyUxCd/ > ls -al image-20210629225014529 config.json 里面都是一些配置,里面找到一个美国的IP image-20210629225502368 清理病毒...删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。
通过 google搜索,发现这是挖矿病毒。...image.png 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi
> busybox top 图片 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。...清理门罗币挖矿木马 常规方式先试试kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这,一看就不是什么好东西...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 图片 原来在 tmp下面有文章 ,但是被 deleted,不管先去看看 > /tmp/.dHyUxCd.../ > ls -al 图片 config.json 里面都是一些配置,里面找到一个美国的IP 图片 清理病毒 删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结...本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。
0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。...0x01 应急场景 某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源: ?...C、清除病毒 1、删除定时任务: ? 2、终止异常进程: ?...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器被感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows
0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。...病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。...Temp目录下发现Carbon、run.bat挖矿程序: ?...具体技术分析细节详见: 360CERT:利用WebLogic漏洞挖矿事件分析 https://www.anquanke.com/post/id/92223 清除挖矿病毒:关闭异常进程、删除c盘temp目录下挖矿程序...总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows安全补丁,开启防火墙临时关闭端口 3、及时更新web漏洞补丁,升级web组件 Bypass About
wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。...查找挖矿进程 其次,我想找一下这个病毒存在的路径。执行了个命令: find / -name wnTKYg* 或者在top下,按C 就可以显示这个路径了。...处理挖矿病毒 直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。 继续观察top以及和/tmp路径下的文件进行对比。...我用浏览器访问了下这个IP: 发现里面有病毒和几个脚本。 下载了这个i.sh这个脚本。 就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。...结果 我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。 观察了top一段时间,发现此病毒暂时没有复发。
今天说一说Window应急响应(四):挖矿病毒[通俗易懂],希望能够帮助大家进步!!! 0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。...病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。...访问该链接: Temp目录下发现Carbon、run.bat挖矿程序: 具体技术分析细节详见: 360CERT:利用WebLogic漏洞挖矿事件分析 https://www.anquanke.com.../post/id/92223 清除挖矿病毒:关闭异常进程、删除c盘temp目录下挖矿程序 。...应急响应(一):FTP暴力破解 Window应急响应(二):蠕虫病毒 Window应急响应(三):勒索病毒 Window应急响应(四):挖矿病毒 Window应急响应(五):ARP病毒
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。...在过去的一年里,至少处理了8起有关Powershell挖矿病毒。今天我们就来谈一谈该病毒的处理方式和防范措施。...不过根据已经中过Powershell挖矿病毒企业观察到的情况,Powershell挖矿病毒除了耗尽服务器的CPU以外,也没有什么其他破坏性的行为。...中Powershell挖矿病毒后的现象 当服务器感染了Powershell挖矿病毒后,通过交互式登录操作系统,利用ProcessExplorer.exe进程查看器进程,会发现Powershell.exe...处理Powershell挖矿病毒 目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀,建议通过防病毒进行系统性的查杀,如果还没有防病毒的企业,或者您企业中的防病毒目前还无法查杀类似这种挖矿病毒的时候
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
