Linux应急响应之挖矿篇
Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢?

首先了解一下什么是挖矿
每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的值需要进行上万亿次的哈希运算,这个过程需要大量的算力,于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿。
我的理解
比特币系统出了一道计算题,这是一个复杂的随机的方程式,谁能求得解便可以得到比特币。而求解的过程是十分耗费CPU的,所以黑客便利用别人的计算机进行求解,而出现了挖矿木马。

挖矿木马

攻击者首先通过漏洞获得主机控制权后,将挖矿木马放在远程主机上,通过wget或curl直接下载远程挖矿进程部署脚本,执行脚本进行挖矿进程的部署、隐藏、持久化和痕迹清除等工作。挖矿木马一般具有横向传播作用,所以随着一台主机的沦陷,就是一个内网的沦陷。

被挖矿后有哪些特征?
1.CPU飙升
2.无故重启
3.卡顿

挖矿木马功能总结

  1. 下载远程挖矿木马

  2. 清除本机中可能存在的其他挖矿进程

  3. 生成特征文件避免重复感染

  4. 收集系统信息,隐藏挖矿进程

  5. 横向传播,控制更多主机

  6. 设置后门

  7. 挖矿进程持久化

  8. 痕迹清除

Linux主机常见漏洞

为了追求高效率,现在的黑客一般都是通过自动化脚本去扫描互联网上所有机器,寻找漏洞然后部署挖矿进程。所以大部分的挖矿都是由于受害者的主机上存在常见的漏洞。

未授权访问或弱口令:Redis未授权访问、Docker API未授权访问,Hadoop Yarn 未授权访问、NFS未授权访问、Rsync弱口令、PostgreSQL弱口令、Tomcat弱口令、SSH弱口令、Telnet弱口令、Windows远程桌面弱口令,mysql弱口令;

远程命令执行漏洞:WebLogic XML 反序列化漏洞、Jenkins反序列化、Jboss远程代码执行、Spring远程代码执行、ElasticSearch命令执行、永恒之蓝、Struts2系列漏洞、常见CMS的远程命令执行漏洞;

ssh爆破:Linux主机常常由ssh爆破攻入挖矿所以一定要避免弱口令以及规律性的密码。

Linux应急响应之挖矿篇相关推荐

  1. linux 应急响应 病毒清除 系统加固

    概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...

  2. 运维基础(15) Linux 应急响应

    Linux 环境下处理应急响应事件往往会更加棘手,因为相比于 Windows ,Linux 没有像 Autorun.procexp 这样的应急响应利器,也没有统一的应急响应处理流程. 所以 ,本文将会 ...

  3. 读《Linux应急响应》笔记(未完待续)

    今天就想听着音乐,看看书.找到压箱底的<linux应急响应>看一看.还是蛮新的,是2021.7.1的新版. 文章目录 思维导图 挖矿事件 恶意域名 获取异常进程PID 寻找恶意⽂件样本 处 ...

  4. 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)

    http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...

  5. Linux 应急响应辅助笔记

    目录导航 0x00 前言: 0x01 应急自动化工具: GScan: 河马: chkrootkit: 在线沙箱: 0x02 排查可能被替换的文件: 0x03 可疑用户排查: 0x04 定时任务排查: ...

  6. Linux应急响应-盖茨木马的处置方式

    Linux应急响应-盖茨木马的处置方式 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含&q ...

  7. 【应急响应】Linux应急响应的姿势

    0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被 ...

  8. Linux 应急响应流程及实战演练

    当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为 ...

  9. Linux应急响应笔记

    背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下. 连接到服务器,首先通过ps auxef 和 netstat -tulnp两个命令查看异常进程信息,果然发现了两个异常进程 xmp 和 ...

最新文章

  1. SQL Server之其他函数——空值处理
  2. 笔记-高项案例题-2016年下-项目收尾
  3. php调取 zabbix实时数据_Linux运维必知的Zabbix故障排错实战
  4. wxWidgets:进程间通信
  5. a律13折线pcm编码例题_a律13折线pcm编码例题
  6. 科学价值 社交关系 大数据_服务的价值:数据科学和用户体验研究美好生活
  7. 华为服务器怎么格式化系统,如何格式化服务器
  8. git提取和拉取区别_每天一Git之起步 - 关于版本控制
  9. grpc 客户端的context 服务端获取不到_MLamp;DEV[10] | gRPC的应用
  10. finereport与finebi差别_Finereport和Finebi的区别
  11. jq+ajax前端上传多张图片_史上最轻量的前端框架-VanillaJS
  12. Android设备通过fastboot刷入TWRP
  13. SketchUp LayOut 剪贴簿制作技巧
  14. matlab安装matconvnet
  15. tensorflow获取tensor的shape
  16. 来诈金花嘛?Python实现的那种
  17. 尚雯婕演唱会上变芭比娃娃
  18. 彻底解决Android Studio Minimum supported Gradle version is X.Y.Z. Current version is x.y.z.问题
  19. xxljob默认登录_XXL-JOB快速入门
  20. 【UE4 虚幻引擎 学习笔记二】引擎内按键输入简单设置

热门文章

  1. 美团笔试题_20220409
  2. Splay(dispatching)
  3. Linux-DNS服务器搭建
  4. 搭建智能DNS---就近原则
  5. C++ Boost库:简介和第一个示例程序
  6. MVC是什么?优点?
  7. m2硬盘写入速度测试软件,【英特尔 600P 512G PCIE M2 SSD 固态硬盘测试总结】读写速度|空间_摘要频道_什么值得买...
  8. linux下的挂载点和分区是什么关系(详解挂载点)
  9. EtherCAT和CANopen之间有什么关系?
  10. 技术不够硬?90%的程序员都错了!