应急响应-挖矿病毒处理

应急响应-挖矿病毒处理

使用top​命令实时监控占用CPU资源的是哪个进程,结果可以看到是2725这个进程。

image

再使用netstat -anltp命令查看网络连接状态,定位到对应的PID号后,就拿到了远程地址

image

拿到远程IP,结果是VPN入口不是矿池。但也可以知道这个远程地址吧就不是好玩意。

image

再去到/proc目录里面,找到对应PID号的文件夹;这个文件夹包含系统中运行进程的信息

执行 ls -l exe​这个命令可以查看这个进程的执行路径,这将显示指向进程可执行文件的符号链接。就可以知道这个恶意的程序在系统中的位置。

image

再通过ps -ajxf​命令看一下这个恶意程序有没有创建其它子线程;结果是并没有其它关联的进程或线程了

image

没有发现其它进程了那就可以直接​ kill -9 2725​杀掉进程即可。

如果发现了其它进程就需要​ kill -9 -2725​;在这个进程号前面加上**-号**,会直接杀掉整个进程组(这种方式会发送信号给进程组中的所有进程,不需要特别指定父进程号或者特定的子进程号)

image杀掉之后,需要监控一下,程序是否会再自动运行起来,这里并没有。

如果这个文件有a和i属性会导致文件不可修改也不可删除
chattr -a filename

chattr -i filename

把文件的这两个属性去除掉即可

如果文件乱码无法通过文件名来删除文件,则可以通过文件i节点号删除即可

ls -il ​​ :获取文件的i节点号
find ./ -inum ​​**i节点号值**​​ -exec rm -f {} \;​ 不需确定直接删除指定i节点号对应的文件

​​

挖矿病毒一般会加入启动项或者定时任务里面,都需要排查。

而且定时任务和启动项也可能会因为某个程序而自动创建,导致你删了定时任务后又会出现定时任务这种删不干净的情况。

所以如果条件允许的话在清除掉相关定时任务和启动项后重启一下服务器或许可以解决这种情况,不允许重启系统就需要搞清楚到底是哪个脚本在自动创建定时任务,删除它。

定时任务的查看:

  1. 使用crontab -l 命令查看当前用户的定时任务列表。

  2. 对于root用户,你可以使用crontab -l -u username​来查看其他用户的定时任务。

  3. 查看cron.daily、cron.weekly等目录:定时任务可能还被配置在/etc/cron.daily/​、/etc/cron.weekly/​等目录中。这些目录包含了系统每日、每周定时执行的任务。

    1.  ls /etc/cron.daily/
       ls /etc/cron.weekly/
       ls /etc/crontab
       ls /etc/cron.d/
       cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}  # 查看所有用户的定时任务
       #定时任务的配置文件也会存储在/var/spool/cron/目录中。每个用户的定时任务可以在对应的用户目录下找到。
       ls /var/spool/cron/
       cat /var/spool/cron/Your_username
      
      

发现跟挖矿程序相关的定时任务都清理掉,下面的自启动项也是同理

查看启动项:

systemctl list-unit-files ​

如果 systemctl list-unit-files 命令的输出中,某个单元文件的 STATE 列显示为 "enabled",那么说明该单元文件是启用的,意味着它会在系统启动时自动加载和运行。

启动脚本通常位于/etc/init.d/​或/etc/rc.d/​目录(或其子目录如/etc/rc.d/init.d/​)来存储启动脚本中。

在一些Linux系统中,特别是使用systemd的系统,启动项脚本可能被保存在/etc/systemd/system/​或/lib/systemd/system/

要确切确定系统的启动项脚本存储路径,最好查看系统的文档或查看特定发行版的惯例。不同的Linux发行版可能会有一些差异。

分析对方是从什么点拿到的服务器权限

把内部的恶意脚本都清理干净后,再去分析对方是如何拿到系统权限并上传的这些恶意文件。

那得先看看这台服务器上运行的都有什么服务

有web服务吗?有的话用漏扫工具扫一下看看会不会有什么点

如果是windows系统是不是开启了远程桌面导致被爆破口令拿到的权限

还是说有Redis未授权等一些其它情况导致的。都需要排查清除

如果是web服务,那很有可能对方留下了后门文件,后门查杀出来的话就在服务器的logs日志里查谁访问了这个后门文件也可以定位出来这个攻击者的远程地址

grep "恶意IP" "web服务器日志路径" > ./ret.txt

  1. 查看访问的URL和参数: 如果攻击者使用了特定的URL路径或参数来进行攻击,注意查看这些信息。
  2. 审查服务器配置文件: 检查你的Web服务器配置文件,确保没有配置错误或者不安全的设置。特别关注是否有不必要的模块启用、权限设置是否正确,以及是否有不安全的目录或文件权限。
  3. 更新和修复漏洞: 确保你的Web服务器和相关的应用程序都是最新版本,并修复已知的漏洞。攻击者可能利用已知的漏洞来入侵系统。
  4. 应用安全补丁: 如果你发现了特定漏洞,确保应用了相关的安全补丁。这包括操作系统、Web服务器、数据库以及你的应用程序本身。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/217601.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

JVM 运行时内存(三)

Java 堆从 GC 的角度还可以细分为: 新生代(Eden 区、From Survivor 区和 To Survivor 区)和老年代。 1. 新生代 是用来存放新生的对象。一般占据堆的 1/3 空间。由于频繁创建对象,所以新生代会频繁触发MinorGC 进行垃圾回收。新生代又分为 Eden 区、ServivorFrom、…

人工智能_机器学习059_非线性核函数_poly核函数_rbf核函数_以及linear核函数效果对比---人工智能工作笔记0099

人工智能_机器学习059_非线性核函数介绍---人工智能工作笔记0099 那么我们应该如何调整这个SVC的参数,也就是我们应该使用哪种核函数,比较合适呢?这取决于我们的数据,适合使用哪个核函数,正好我们有 提供的score = accuracy_score(y_test,y_pred) 这样的评分函数,我们可以根据…

B2B公司如何寻找意向客户的联系方式?

在B2B公司的营销过程中,少不了寻找意向客户的阶段,这也是销售过程中非常重要的一步。 很多新人都是拿到客户联系方式,就直接打电话拜访,俗话说不打没有准备的仗,因此在拜访客户之前就应该做好功课,充分了解…

AI医疗交流平台【Docola】申请823万美元纳斯达克IPO上市

来源:猛兽财经 作者:猛兽财经 猛兽财经获悉,总部位于美国的AI医疗交流平台Docola近期已向美国证券交易委员会(SEC)提交招股书,申请在纳斯达克IPO上市,股票代码为 (DOCO) ,Docola计划…

【五分钟】熟练使用numpy的histogram函数(干货!!!)

histogram函数重要参数详解 def histogram(a, bins10, rangeNone, normedNone, weightsNone, densityNone):...位置参数a: The histogram is computed over the flattened array.(源码对参数a的解释) 从源码对参数a的解释来看,参…

从0开始使用Maven

文章目录 一.Maven的介绍即相关概念1.为什么使用Maven/Maven的作用2.Maven的坐标 二.Maven的安装三.IDEA编译器配置Maven环境1.在IDEA的单个工程中配置Maven环境2.方式2:配置Maven全局参数 四.IDEA编译器创建Maven项目五.IDEA中的Maven项目结构六.IDEA编译器导入Mav…

设计模式之代理模式(1)

目录 概述定义应用场景主要角色类图 详述基本代码应用实例符合的设计原则 总结 概述 定义 代理模式是一种结构型设计模式,它允许通过一个代理对象来控制对原始对象的访问。代理对象可以在不改变原始对象的情况下,增加一些额外的功能,例如权限…

差分基准站

差分基准站,又称参考接收机,是一种固定式卫星接收机,用于提高卫星定位精度。 差分基准站的作用是提供已知位置和准确的位置信号,以纠正其他移动定位终端接收器接收到的卫星信号中的误差。 卫星定位信号会受到多种因素的影响&#…

selenium自动化测试:xpath八种定位方式!

01、前言 如果可以的话,请先关注(专栏和账号),然后点赞和收藏,最后学习和进步。你的支持是我继续写下去的最大动力,个人定当倾囊而送,不负众望。谢谢!!! 1.…

【蓝桥杯省赛真题49】Scratch小狗避障 蓝桥杯scratch图形化编程 中小学生蓝桥杯省赛真题讲解

目录 scratch小狗避障 一、题目要求 编程实现 二、案例分析 1、角色分析

JDK安装太麻烦?一篇文章搞定

JDK是 Java 语言的软件开发工具包,主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心,它包含了JAVA的运行环境(JVMJava系统类库)和JAVA工具。 JDK包含的基本组件包括: javac – 编译器&#xf…

从零开始入门Zapier:与ChatGPT双剑合璧,手把手教程让你进入AI与自动化新纪元

coments 1. 1. 打开Zapier的官方界面 登录之后,会出现一个调查表,可以根据自己的情况进行选择。 第一次注册成功,会送你14天的免费体验

SAP ABAP ALV创建动态树形菜单

创建动态树形菜单——ALV 创建的合同越多,使用树形菜单能比较直观的地显示,而且展开下阶也能明确的知识相关的信息,比如合同中的出口成品有哪些。 设计要点: 第一、 Node_key一定要区分,不能重复,否则出错…

C语言--每日选择题--Day35

第一题 1. 有如下定义:(x y) % 2 (int) a / (int) b 的值是() int x 3; int y 2;float a 2.5; float b 3.5; A:0 B:2 C:1.5 D:1 答案及解析 D 本题是考查强制类型转换和操作符优先级 操作…

JavaWeb 前端工程化

前端工程化是使用软件工程的方法来单独解决前端的开发流程中模块化、组件化、规范化、自动化的问题,其主要目的为了提高效率和降低成本。 前端工程化实现技术栈 前端工程化实现的技术栈有很多,我们采用ES6nodejsnpmViteVUE3routerpiniaaxiosElement-plus组合来实现 ECMAScri…

由11月27日滴滴崩溃到近两个月国内互联网产品接二连三崩溃引发的感想

文章目录 知乎文分析微信聊天截图微信公众号 滴滴技术 发文k8s 官方文档滴滴官方微博账号 近两个月国内互联网产品“崩溃”事件2023-10-23 语雀崩溃2023-11-12 阿里云崩溃2023-11-27 滴滴崩溃2023-12-03 腾讯视频崩溃总结 我的感想 知乎文分析 最近连续加班,打车较…

简单的界面与数据分离的架构

草图绘制于2021年2月19日 当时用到了:qt的子项目、delegate、view和widget的关系,有感而写的小备忘,2022年底考的软件设计师里面的设计模式虽然可能早已包含,但自己也得有自己啊,要把自己哪怕不成熟的东西也记录下来&…

操作系统概述及发展史、Linux内核、发行版及应用领域

一、 操作系统(Operation System,OS) 裸机:没有安装操作系统的计算机 如果想在 裸机 上运行自己所编写的程序,就必须用机器语言书写程序如果计算机上安装了操作系统,就可以在操作系统上安装支持的高级语言…

【算法刷题】Day12

文章目录 1004. 最大连续1的个数 III题干:算法原理:1、暴力枚举 计数器2、利用滑动窗口 代码: 746. 使用最小花费爬楼梯题干:算法原理:解法一:1.1 状态表示1.2 状态转移方程1.3 初始化1.4 填表顺序1.5 返回…

unity学习笔记18

模型文件属性简介 1.动画类型:一共有四种:无 表示没有动画,旧版 就表示这个模型文件里面的动画片段可以用animation组件来播放的,最后两个 ”泛型“和“人形”都是animator组件来播放的。区别是泛型支持所有类型的动画播放&#x…