记·Windows挖矿病毒应急响应
一、事件概述
有台服务器的风扇一直很响,并且操作十分卡顿。重启过程也十分缓慢,打开任务管理器一看,cpu直接拉满了,资源占用严重,猜测中了挖矿木马。
二、痕迹挖掘
1.查看可疑进程
发现system.exe *32占用cpu最高,并且还有xmrig.exe,可以确定被挖矿了,并且是用来挖门罗币。
分析进程参数,查看进程的详细信息,找到异常进程的文件位置"C:\PerfLogs\xxx\xmrig.exe"、"C:\PerfLogs\shell\system.exe" C:\PerfLogs\shell\system.tkn
打开文件所在目录,发现是木马所在地,首先结束进程,删除木马文件,并清空回收站。cpu恢复正常。
2.检查系统账号安全
查看管理——用户,不存在可疑账号、新增账号
3.检查异常端口
发现开启了445端口、3389端口。可能存在永恒之蓝漏洞或者暴力破解rdp服务登录。
查看系统信息,发现没有打MS17-010漏洞的补丁,存在永恒之蓝攻击的风险。
4.检查启动项、计划任务
msconfig查看启动项,存在异常启动项'config'。
查看内容发现是以静默模式启动木马程序,删除启动项以及该文件。去注册表检查也无异常。
对计划任务进行排查,无异常计划任务。
三、样本分析
获取样本后对该木马进行分析,属于木马家族CoinMiner。会拖慢分析任务的进度,并且被加壳,通过获取系统信息查询计算机的时区,躲避分析系统。并且杀软能有效检测,体现了安装杀软的重要性。
四、防范建议
安装反病毒软件,及时更新服务器补丁,避免被攻击者利用
关闭不常用的危险端口,避免被病毒利用和感染
加强密码强度,避免使用弱口令,包括大小写及特殊字符混合
避免使用相同密码,防止病毒抓取本机密码,攻击其他机器
记·Windows挖矿病毒应急响应相关推荐
- linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
一次 "无文件"."无进程",在系统中 "几乎" 看不到异常的高配挖矿病毒处置实例 . 0x00 正经的内容介绍 本文记录了一次表象是 &q ...
- 记一次Windows勒索病毒应急响应实战
查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...
- 记一次挖矿病毒应急处置全过程挖矿处置基本操作
记一次挖矿病毒应急处置全过程&挖矿处置基本操作 一.处置过程 1.查看第一位的pid号:32535 2.进入`/tmp/.X11-unix`目录,其中`11`文件中写的是32535,`01`文 ...
- 网络安全应急响应----6、挖矿攻击应急响应
文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...
- 某某客户的一次勒索病毒应急响应
Lockbit勒索病毒应急响应 背景 1.应急处理排查 2.勒索病毒来源分析 3.勒索病毒分析 4.勒索病毒解密 5.主机分析分析 6.后续安全加固和改进措施 结论 背景 美好的周六刚开始,眼睛一睁, ...
- 勒索病毒应急响应及防护
一.勒索病毒类型 1.加密勒索软件 它使个人文件和文件夹(文档.电子表格.图片和视频)被加密. 受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件. ...
- 勒索病毒应急响应指导手册
目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...
- 挖矿木马应急响应指南
挖矿木马应急响应指南 1.初步预判 2.隔离被感染的服务器/主机 3.确认挖矿进程 4.挖矿木马清除 1.初步预判 判断是否真实遭遇挖矿木马 被植入挖矿木马的计算机会出现 CPU 使用率飙升.系统卡顿 ...
- web漏洞 云盾_云盾WAF实现虚拟补丁——记一起Web漏洞应急响应
原标题:云盾WAF实现虚拟补丁--记一起Web漏洞应急响应 来自真实案例的虚拟总结.见招拆招,而且还得以最快的速度完成,云盾WAF扛得起! 忧伤的周六早晨 "云盾.先知"的渗透测试 ...
最新文章
- mysql负载均衡与同步_MySql数据库从同步负载均衡实时备份
- Linux内存(手动释放cache)
- 成功的九字真言(冯唐)
- Linux汇编语法开发
- Linux设备模型(总结)
- css实现发光的input输入框
- Android多种样式的进度条
- mysql连接 xorm_使用go xorm来操作mysql的方法实例
- linux mysql配置_Linux下MySQL安装配置 MySQL配置参数详解
- python 微博自动点赞软件_微博超话自动软件-微博超话自动工具(签到+发帖+自动写文案)下载-西西软件下载...
- Nessus插件包20220925
- 国内最受欢迎的API市场对比和介绍
- 相较于本地渲染,云渲染用起来感觉怎么样?
- 【新年快乐】2022年跨年钟声即将敲响,2021终将成为历史
- java导出繁体字word,word繁体字转换
- TSE2019-The Art, Science, and Engineering of Fuzzing: A Survey
- TensorFlow深度学习:3.API示范
- html表单灰色字,灰色HTML表单元素
- 保护你的聊天隐私---“外挂式”加密软件设计思路
- 新浪微博爬虫-抓取用户发布的微博