24小时接单的黑客

黑客接单,黑客教程,黑客技术,黑客找黑客,技术黑客

挖矿木马病毒排查过程(什么是挖矿木马病毒)

本文目录一览:

挖矿病毒怎么排查

登录系统查看任务管理器,查看占用内存较大且无法关闭的进程。进程上点击鼠标右键,打开文件位置(先要在文件夹选项中选择显示隐藏文件及操作系文件)。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程 这里还可以看到一个2.bat文件,右键编辑打开这个文件查看,可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Systemss 整个目录。

如果是Linux系统请参考:网页链接

中了挖矿木马,我是如何清理的

建议楼主下载安装腾讯电脑管家来进行杀毒,

重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描----顽固木马克星--深化扫描--完成重启电脑就可以了

腾讯电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,

应用腾讯自研第二代反病毒引擎“鹰眼”,

资源占用少,基于CPU虚拟执行技术能够根除顽固病毒,

大幅度提升深度查杀能力。

求助服务器被挖矿程序入侵,如何排查

 新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接

服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般

会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这

就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客

户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器,查看当前的进程发现有一个特别的进程占用了百分之100

的CPU,而且会持续不断的占用,我们查了查该进程,发现不是linux的系统进程,我们对进程

的目录进行查看,发现该进程是一个木马进程,再仔细进行安全分析,才确定是目前最新的挖

矿木马病毒,挖的矿分很多种,什么比特币,什么罗门币的,太多太多,看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看

里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行计划任务,

导致客户怎么重启都于事无补,还是卡的要命。该木马代码还调用了一些Linux系统命令,bashe

bashd来挖矿,该命令是最直接也是占用CPU到顶峰的关键,太粗鲁了,这样的挖矿本身就会让

客户发现问题,看来挖矿者只顾着赚钱,不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,

仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查

当前进程是否存在,不存在就启动挖矿木马,进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病

毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,

客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开

发架构是 *** P+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重

的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,

SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器

一切稳定运行,网站打开正常。

  • 评论列表:
  •  辞眸北槐
     发布于 2022-07-01 15:41:47  回复该评论
  • 器删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Systemss 整个目录。如果是Linux系统请参考:网页链接中了挖矿木马,我是如何清
  •  惑心诤友
     发布于 2022-07-01 16:32:17  回复该评论
  • 间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_MACHINE\SYSTE
  •  假欢怎忘
     发布于 2022-07-01 14:30:58  回复该评论
  • 。挖矿木马的检测与清除 我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.