记一次linux挖矿木马的处置

原创 已于 2024-05-13 15:18:05 修改 · 6k 阅读 · 14
文章标签:

#linux #运维 #服务器

于 2022-09-15 10:48:47 首次发布
本文记录了一次对服务器上高CPU使用率的warmup进程进行排查的过程,发现该进程为挖矿木马。通过分析进程、启动项、计划任务和邮件,找出了恶意文件和矿池地址。应急处置包括结束进程、删除启动项、计划任务和服务,并全盘查杀木马。同时提出了安装杀毒软件、避免弱密码、关闭不必要的服务、谨慎安装应用和提高网络安全意识等防范措施。

场景

受公司委托对客户服务器挖矿木马进行应急处置,客户说服务器很卡让我们排查处置一下,okok,直接远程开搞开搞,所有可疑文件先下载留存,再删除。

排查分析

使用top命令查看CPU使用率时发现,进程warmup CPU使用率过高,如图所示,该进程高度可疑。即使是kill 掉该进程也无济于事,后面又会自动跑起来。

使用ps命令查看进程时发现可疑进程/root/.warmup/warmup,如图所示。

通过命令chkconfig排查开机启动项,如图找到warmup文件

通过find / -name "*warmup*"命令排查启动项时发现存在10个可疑启动项,/etc/rc.d/init.d/warmup、/etc/rc.d/rc0.d/K15warmup、/etc/rc.d/rc1.d/K15warmup、/etc/rc.d/rc2.d/S85warmup、/etc/rc.d/rc3.d/S85warmup、/etc/rc.d/rc4.d/S85warmup、/etc/rc.d/rc5.d/S85war

最低0.47元/天 解锁文章
beichenyyds
关注
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
应急响应-挖矿木马-典型处置案例
qq_50765147的博客
02-22 2523
根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner挖矿蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7989
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
TCP 木马 CoinMiner 尝试连接矿池(XMR) 入侵原理
zengliguang的专栏
08-28 1937
CoinMiner 是一种恶意软件,利用 TCP 连接矿池进行加密货币挖矿
如何用Wireshark抓包分析CoinMiner木马的TCP连接行为(附实战截图)
最新发布
weixin_28705087的博客
04-06 106
本文详细介绍了如何使用Wireshark抓包分析CoinMiner木马的TCP连接行为,包括环境准备、流量捕获技巧、TCP流特征解析及防御方案。通过实战截图和具体配置示例,帮助安全人员快速识别和应对加密货币挖矿木马威胁,特别关注XMR挖矿流量的典型特征。
如何检测和清除隐藏在系统进程中的CoinMiner挖矿木马(附详细排查步骤)
weixin_29234509的博客
03-15 213
本文详细介绍了如何检测和清除隐藏在系统进程中的CoinMiner挖矿木马,包括异常行为识别、进程深度检测和彻底清除步骤。通过分析CPU使用模式、网络流量特征及内存取证,帮助系统管理员快速发现并应对挖矿攻击,特别针对门罗币(XMR)矿池的通信特征提供了实用解决方案。
linux——挖矿程序处理
sunfragrence的博客
12-12 3930
一次挖矿程序入侵以及解决实操! 1,过程录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
挖矿病毒之CoinMiner入侵SQLServer
黑白的博客
06-26 7953
挖矿病毒之CoinMiner入侵SQLServer
什么是挖矿木马?我猜你还不知道
yy1715713348的博客
12-19 1419
由于区块链技术热炒以及数字货币魔性推广运营,如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒,在这些的利益驱使下便出现各种模式的挖矿木马程序。挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;
一次linux隐藏进程libgcc_a挖矿木马处置
beichenyyds的博客
01-15 2162
隐藏进程挖矿应急处置
应急响应——Linux挖矿木马处置
记录并分享学习安全的知识点..
12-01 1239
挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。
《应急响应》一次“XMR门罗币挖矿木马病毒”处置
1
11-03 3764
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
一次挖矿木马的较量】
Askshhbs的博客
04-18 558
未来的黑客大佬!我们终于找到你了~ 想要获取更多免费学习资料可搜索公众号:“掌控安全课堂” 后台回复”我想学黑客“即可 一、概述 本文主要是录了一次针对挖矿程序的应急响应处理,从三个部分来解读此次事件: 1、事件描述部分,确认是否有挖矿程序。 2、现场分析部分,讲了是如何一步一步杀掉挖矿程序。 3、程序分析部分,针对挖矿脚本的详细解读。杀死竞争挖矿程序、进程守护、传播挖矿。 二、疑惑的用户 前几天接到客户反映,他们有一台服务器资产存在异常现象,原本配置的crontab定时任务全被..
linux遭入侵挖矿进程被隐藏案例分析
whatday的专栏
10-25 2687
目录 一、背景 二、入侵分析 三、样本分析 四、附录 IOCs: 一、背景 云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。 二、入侵分析 本次捕获案例的入侵流程与以往相比,没有特殊的地方,也是利用通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。 通过对几
乱下东西导致挖矿病毒Trojan,CoinMiner的解决
热门推荐
m0_53419552的博客
06-30 1万+
乱下东西导致挖矿病毒Trojan,CoinMiner的解决
清除Linux挖矿病毒
三少
03-21 2238
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 3629
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故录方法和过程。系统版本:Ubuntu 20.04 LST。
挖矿病毒应急响应处置手册
安全狐
03-21 1461
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
挖矿木马-Linux
山兔的博客
09-09 1289
1、挖矿木马靶机中切换至root用户执行/root目录下的start.sh和attack.sh2、题目服务器中包含两个应用场景,redis服务和hpMyAdmin服务,黑客分别通过两场景进行入侵,入侵与后续利用线路路如下:redis服务:redis服务监听地址为0.0.0.0,且使用root户运行,黑客通过对外开放的redis服务,向/root/.ssh/authorized_keys⽂文件下写入自己的公钥从而获得服务器ssh服务的root连接权限;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值