我的服务器被挖矿了,原因竟是。。。
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
挖矿木马应急响应
- 一、什么是挖矿
- 二、被挖矿主机现象
- 三、挖矿木马处置思路
- 1)隔离
- 2)确认挖矿进程
- 3)清除木马
- 4)加固
- 四、挖矿木马处置步骤
- 1)Windows
- 0、挖矿木马现象
- 1、排查进程
- 2、排查账号
- 3、排查启动项
- 4、排查计划任务
- 5、日志分析
- 2)Linux
- 1、排查进程
- 2、排查账号
- 3、排查定时任务
- 4、排查启动项
- 五、挖矿木马应急实例
- 粉丝福利
前段时间有个粉丝问我,说他买的云服务器最近特别卡,好像是中毒了,让我帮忙看看。
我远程了好几次,终于连上去,发现果然是被挖矿了,很蠢的那种Driver,连服务名都懒得改。
本来是个很简单的问题,但排查了半天竟没发现它是怎么进来的,啥漏洞也没有。
直到事后吃饭的时候才发现,她给我发的服务器密码,
是 1 2 3 4 5 6 7
趁此机会,跟大家分享一下挖矿木马的应急思路。
倒不是说能防住,起码在你被挖矿的时候,能知道自己是被挖矿了。
一、什么是挖矿
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。
而寻找代码的过程,就是挖矿。
设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。
为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。
二、被挖矿主机现象
挖矿木马最大的特点就是CPU占用高,占用高以后,电脑温度就会升高、风扇噪音也会变大,服务器上的业务变得异常缓慢。
三、挖矿木马处置思路
1)隔离
非重要业务系统直接下线隔离再做排查。
重要业务系统:在不影响业务的前提下,及时隔离当前主机,如禁用非业务使用端口、服务、配置ACL白名单。
2)确认挖矿进程
挖矿程序的进程名称一般表现为两种形式:
一种是不规则的数字或字母,这种需要检查哪些不常见的名字。
另一种是伪装成常见的进程,这种就重点看CUP占用高的进程。
3)清除木马
网络层面阻断挖矿木马与矿池的通信。
清除挖矿定时任务,启动项等。
定位挖矿文件位置并删除。
4)加固
根据挖矿木马的传播方式,修复相应漏洞,防止再次感染。
四、挖矿木马处置步骤
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。
而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。
最后通过账号、日志、母体文件等信息,溯源攻击路径。
1)Windows
0、挖矿木马现象
CPU占用高,主机卡顿
1、排查进程
思路:
通过网络连接定位进程PID,再通过PID定位具体程序,通过任务管理器定位进程文件位置。
排查CUP占用高的、进程名异常的进程。
相关命令:
netstat -ano 查看网络连接,最常见的就是大量445的连接。
tasklist | findstr “PID” 根据PID查看具体的进程。
wmic process | findstr “进程名称” 根据进程名获取进程位置。
attrib -H 文件名 取消隐藏属性,很多时候我们定位到文件位置时,发现文件夹是空的,这时候就需要取消文件的隐藏属性并显示文件的后缀名。
2、排查账号
思路:
检查弱口令、可疑账号,比如新建账号、隐藏账号、克隆账号
相关命令:
net user查看当前系统的账号,与用户确认,是否有新建的可疑账号;询问用户账号口令是什么,是否存在弱口令。
WIN + R,输入lusrmgr.msc,查看是否有隐藏账号。
3、排查启动项
WIN + R,输入 regedit,打开注册表,看开机启动项。
WIN + R,输入msconfig 或【任务管理器】-【启动】
4、排查计划任务
【控制面板】-【计划任务】
cmd 输入at或schtasks.exe。
5、日志分析
WIN + R,输入 eventvwr.msc
重点看登录日志,看登录类型,2(网络共享)和10(远程桌面)是挖矿木马出现最多的登录类型。
根据样本文件的创建时间,排查这个时间段的登录情况。
2)Linux
1、排查进程
top命令检查CUP占用高的进程,确定PID,定位文件位置
netstat -anp 查看网络连接
ps -ef 查看可疑进程
ps -aux 查看进程
ls -alh /proc/PID 根据PID查看进程对应的可执行程序
kill -9 PID 结束进程
2、排查账号
cat /etc/passwd 查看用户信息
last 用户最近登录的信息
lastlog 所有用户最后一次登录的信息
lastb 用户登录失败的信息
history 历史命令
3、排查定时任务
crontab -l 查看计划任务
cat /etc/crontab 查看计划任务
crontab -u root -l 查看root用户的计划任务
ls /etc/cron* 查看计划任务文件
4、排查启动项
/etc/rc*
/etc/rc.d/rc
/etc/rc
/etc/rc.local
/etc/rc.d/rc.local
/etc/rc.d/rc
/etc/init/*.conf
五、挖矿木马应急实例
驱动人生挖矿木马:
利用永恒之蓝传播。
存在大量445连接行为,netstat -ano | grep 445
服务名包含drivers(\windows\system32\drivers\svchost.exe)
母体文件设置为隐藏,会创建多个计划任务(Rsta或其他随机名称),调用PowerShell。
粉丝福利
评论区评论参与抽奖,送《Windows PowerShell自动化运维大全》一本。
《Windows PowerShell自动化运维大全》由微软最有价值专家、微软TechEd优秀讲师徐鹏著作,多年经验毫无保留分享,一本书完全讲透Windows PowerShell自动化运维所有核心知识点,赠送同步视频学习教程,助你从运维初级工程师转向高级运维工程师!一本书精通Windows PowerShell自动化运维!
本书从基础的 PowerShell 命令开始,先后讲述了基础命令、模块、脚本的编写等相关知识。同时为了让大家更快地理解和掌握 PowerShell 的环境配置和编写,我们使用系统内置的 PowerShell ISE 开发环境进行 PowerShell 代码的开发和运行。为了照顾很多基础薄弱的读者,在进行代码案例演示时都使用了 15 行以内的代码。
本书可作为学校培训与企业培训的基本学习教程和工具书,相信通过本书的学习,读者可以更快地理解 PowerShell在日常生活及企业内的应用,为读者在自动化运维的道路上助力。
我的服务器被挖矿了,原因竟是。。。相关推荐
- 微信缴纳罚款无法连接服务器,为什么我的违章罚款在微信上交不了?原因竟是…...
话说上周咱们说到交警"黑科技"上线, 没错,依靠科技强警战略, 中山交警蜀黍的执法战斗力的确越来越强, 不过我们可不是一门心思只想着打击交通违法, 在便民.利民的人性化政务服务方面 ...
- 解决阿里云服务器提示挖矿程序风险
最近阿里云天天提示我挖矿,可是我是良民啊,还要封我号,把我吓够呛啊. 后台通过CPU 被挖矿,Redis 竟是内鬼!_CSDN云计算-CSDN博客 这篇文章有所启发,大家可以看下 目前没提示,后期再提 ...
- 服务器越来越慢的原因及解决办法
随着各种主机产品的推出,服务器出现的问题各式各样,由于虚拟主机都是同时运行,便会对服务器产生过大的压力,从而导致服务器的速度越来越缓慢,下面和大家分享一下服务器越来越慢的原因及解决办法. 1.虚拟主机 ...
- vivo手机计算机错误怎么弄,手机计算器出错,原因竟是人性化设计
原标题:手机计算器出错,原因竟是人性化设计 近日,一则"手机计算器全线阵亡"的消息登上各大热搜榜.不少网友发现自己手机的计算器出现了一个错误:在手机计算器中输入"10%+ ...
- 云服务器ECS挖矿木马病毒处理和解决方案
云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...
- 服务器响应丢包了怎么办,服务器丢包的原因有那些
服务器丢包的原因有那些 内容精选 换一换 用户登录Windows操作系统的弹性云服务器时,需使用密码方式登录.因此需通过密钥文件,获取该弹性云服务器的初始密码.但是,用户参见获取Windows弹性云服 ...
- 阿里云服务器被挖矿怎么解决
2019独角兽企业重金招聘Python工程师标准>>> 春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告.该安全报告主要是以我们去年的整一年的安全数据为基 ...
- 手机开锁显示无法连接到服务器是什么问题,苹果手机连接服务器失败原因 苹果手机连接服务器失败是什么原因...
1.验证失败连接apple id服务器时出错,想登录Apple ID账号却无法实现与苹果iCloud服务器连接是什么原因导致的呢?验证失败连接apple id服务器时出错原因分析:一般可能是由于手机网 ...
- 服务器挂起的原因以及需要如何应对?
文章目录 服务器挂起是什么情况,它有哪有症状? Weblogic 线程的角色和职责? 什么是 Execute 队列? 服务器挂起可能会有哪些原因? 如果出现服务器挂起或响应缓慢的情形,服务端的日志是什 ...
- 服务器连接异常系统无法登录,Win10系统电脑无法登录LOL提示服务器连接异常的原因及解决方法...
Win10系统电脑无法登录LOL提示服务器连接异常的原因及解决方法 腾讯视频/爱奇艺/优酷/外卖 充值4折起 win10正式版LOL无法登录,提示"服务器连接异常"的问题,这该怎么 ...
最新文章
- InServ-T级存储系统能否挑战传统存储架构?
- “上海名媛群”事件,我来说几句
- 如何在MDI中相同的子窗体只保留一个实例
- 1059 Prime Factors (25 分)【难度: 一般 / 知识点: 分解质因子 】
- 使用Boost.Compute的STL 在GPU上添加两个向量的实现
- WebSocket In ASP.NET Core
- tornado 学习注意事项--00
- fitbit手表中文说明书_我如何分析FitBit中的数据以改善整体健康状况
- clion IDEA 2019 Activation Code
- 手机壁纸 NBA群星高清壁纸
- JAVA编码(5)——JAVA输入流输出流
- jQuery easyUI Pagination控件自定义div分页(不用datagrid)
- java url 请求 最大长度限制,Http协议中的各种长度限制总结
- 想自学HCIE,有什么好的书籍推荐吗?
- 概率论大作业C语言验证正态分布的数学期望和方差
- Shiro记住我无效,被拦截;
- oracle创建一个永久性表空间,oracle创建表空间
- 计算机格式化没有fat32,无需格式化 U盘FAT32转NTFS格式教程
- 如何清除windowsoffice KMS激活
- ASP.NET图书管理系统简单实现步骤