文章目录

  • 挖矿样本-Win&Linux-危害&定性
  • Linux-Web安全漏洞导致挖矿事件
  • Windows-系统口令爆破导致挖矿事件
  • Linux-个人真实服务器被植入挖矿分析

挖矿样本-Win&Linux-危害&定性

危害:CPU拉满,网络阻塞,服务器卡顿、耗电等
定性:威胁情报平台上传解析分析,文件配置查看等

挖矿脚本会根据宿主机器电脑配置进行"合理挖矿"

上传分析挖矿脚本

Linux-Web安全漏洞导致挖矿事件

某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。
排查:挖矿程序-植入定时任务
排查:Web程序-JAVA_Struts2漏洞


放到微步在线分析

域名反查IP



一般挖矿脚本会配合启动项、计时任务等权限维持技术
1、写入计时任务

2、写入SSH公钥(私钥连接)

3、删除市场上已知挖矿脚本(恶意竞争了,属于是)

Windows-系统口令爆破导致挖矿事件

某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
排查:挖矿程序-植入计划任务
排查:登录爆破-服务器口令安全

Linux-个人真实服务器被植入挖矿分析

挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等

1、网站首页被植入暗链

通过网站域名搜索就恶意跳转,ip访问不跳转。高级用法:将跳转语句写入数据库中,前端代码看不到恶链代码

<script type="text/javascript">
var search=document.referrer;          //document.referrer 获取了当前页面的来源地址。
if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0)   #search.indexOf()   //检查当前页面的来源地址是否包含某个搜索引擎的关键字,baidu、so、google self.location="https://www.XXXXXXXX.com";     //self.location 表示当前窗口的 URL 地址,重定向至 https://www.XXXXXXXX.com
</script>

2、日志文件分析 目录扫描&struts2 RCE

struts 2 RCENday payload

【应急响应】挖矿脚本检测指南威胁情报样本定性文件清除入口修复相关推荐

  1. 应急响应--164天:挖矿脚本检测,威胁情报

    挖矿前提:取得服务器权限 linux: 手动查杀:top命令看到哪个进程占用cpu最高 ,找到进程名字 使用:find / -name xxx 等待找出病毒文件路径后 记录病毒在文件夹出现的时间,重要 ...

  2. 忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应

    戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试.代码审计.应急响应.漏洞研究.威胁情报.安全运维.攻防演练等 本文约1790字,阅读约需5分钟. 0x00 前言 随着虚拟 ...

  3. 以入侵检测的视角进行应急响应

    ​日常记录,仅供收藏,用时不慌. 0x01 写在开头 基于主机层的应急响应和入侵检测感觉有点相似,具体有什么异同呢? 一.应急响应和入侵检测都需要获取什么信息,目的各自是什么? 1.快照信息:获取服务 ...

  4. Linux挖矿病毒事件应急响应演练(dbused木马)

    文章目录 1 环境准备 2 攻击阶段 3 应急响应 3.1 检测阶段 3.2 根除阶段 1 环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.1 ...

  5. window操作系统服务器应急响应流程

    常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗 针对常见的攻击事件,结合工作 ...

  6. 终于明白什么是威胁情报

    威胁情报初探 什么是威胁情报,其实安全圈一直在使用着它们,漏洞库.指纹库.IP信誉库,它们都是威胁情报的一部分.情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索.&qu ...

  7. [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)

    [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...

  8. 威胁情报的定义及理解

    根据GarTner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文.机制.标示.含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应 ...

  9. 一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)

    一.事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替).(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务 ...

最新文章

  1. IBM开源了5亿行代码数据集,里面最多的编程语言却不是Python
  2. fedora 共享NFS
  3. 清华计算机系和交叉信息学院,清华大学交叉信息研究院与计算机科学与技术系哪个..._考研_帮考网...
  4. 华为卡槽打不开怎么办_17500元!华为5G折叠手机刷屏,有人焦虑连夜开会…
  5. linux怎样写java代码,linux 怎么写java
  6. Nat Commun|单细胞ATAC-seq深度学习工具包AtacWorks,简单、高效且适用
  7. java与数据库的数据交互,Java与数据库初步交互(后续需要进行优化)
  8. extern作用详解
  9. 走进start_kernel尾声
  10. 必看!超详细的电子元器件选型经验分享
  11. 物流查询方法,一键导入单号自动识别快递公司
  12. Fabric chaincode shim.ChaincodeStubInterface
  13. Python办公自动化 5.1 Python操作ppt:win32com 使用教程 操作复制ppt PowerPoint
  14. STM32F103步进电机驱动简单控制
  15. 有没有什么靠谱的副业?
  16. java实现登录验证机制的技术_基于token的登陆验证机制
  17. PHP获取路径和目录方法总结
  18. 学了Python之后,都能干点啥?
  19. 公路安全设施和交通秩序管理精细化提升行动方案(宣贯培训资料)(附下载)...
  20. linux运维工程师视频教程一(下)-张彬-专题视频课程

热门文章

  1. pdf复制出来都是方块 解决办法 你们有福了!
  2. projectwbs表_project2010怎么插入工作分解结构? project插入WBS编号的教程
  3. android按钮点击音效
  4. Flink应用实践-唯品会
  5. 计算机没有游戏和附件,win10系统开始菜单“附件”中不显示纸牌小游戏的操作教程...
  6. MiniGUI编译器前的注意点
  7. jQuery的属性与样式之增加样式、删除样式、切换样式
  8. JavaWeb之JSP原理
  9. 北京邮电大学计算机网络课件,北京邮电大学计算机网络课件第一章:物理层.ppt...
  10. 电脑上的软件和硬件怎么区分?