应急响应-挖矿病毒处理

梧六柒2023-12-08 15:16

应急响应-挖矿病毒处理

使用top​命令实时监控占用CPU资源的是哪个进程,结果可以看到是2725这个进程。

再使用netstat -anltp命令查看网络连接状态,定位到对应的PID号后,就拿到了远程地址

拿到远程IP,结果是VPN入口不是矿池。但也可以知道这个远程地址吧就不是好玩意。

再去到/proc目录里面,找到对应PID号的文件夹;这个文件夹包含系统中运行进程的信息

执行 ls -l exe​这个命令可以查看这个进程的执行路径,这将显示指向进程可执行文件的符号链接。就可以知道这个恶意的程序在系统中的位置。

再通过ps -ajxf​命令看一下这个恶意程序有没有创建其它子线程;结果是并没有其它关联的进程或线程了

没有发现其它进程了那就可以直接​ kill -9 2725​杀掉进程即可。

如果发现了其它进程就需要​ kill -9 -2725​;在这个进程号前面加上**-号**,会直接杀掉整个进程组(这种方式会发送信号给进程组中的所有进程,不需要特别指定父进程号或者特定的子进程号)

杀掉之后,需要监控一下,程序是否会再自动运行起来,这里并没有。

如果这个文件有a和i属性会导致文件不可修改也不可删除

chattr -a filename

chattr -i filename

把文件的这两个属性去除掉即可

如果文件乱码无法通过文件名来删除文件,则可以通过文件i节点号删除即可

ls -il ​​ :获取文件的i节点号

find ./ -inum ​​**i节点号值**​​ -exec rm -f {} \;​ 不需确定直接删除指定i节点号对应的文件

​​

挖矿病毒一般会加入启动项 或者定时任务里面,都需要排查。

而且定时任务和启动项也可能会因为某个程序而自动创建,导致你删了定时任务后又会出现定时任务这种删不干净的情况。

所以如果条件允许的话在清除掉相关定时任务和启动项后重启一下服务器或许可以解决这种情况,不允许重启系统就需要搞清楚到底是哪个脚本在自动创建定时任务,删除它。

定时任务的查看:

  1. 使用crontab -l 命令查看当前用户的定时任务列表。

  2. 对于root用户,你可以使用crontab -l -u username​来查看其他用户的定时任务。

  3. 查看cron.daily、cron.weekly等目录:定时任务可能还被配置在/etc/cron.daily/​、/etc/cron.weekly/​等目录中。这些目录包含了系统每日、每周定时执行的任务。

    bash 复制代码 
     ls /etc/cron.daily/
 ls /etc/cron.weekly/
 ls /etc/crontab
 ls /etc/cron.d/
 cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}  # 查看所有用户的定时任务
 #定时任务的配置文件也会存储在/var/spool/cron/目录中。每个用户的定时任务可以在对应的用户目录下找到。
 ls /var/spool/cron/
 cat /var/spool/cron/Your_username

发现跟挖矿程序相关的定时任务都清理掉,下面的自启动项也是同理

查看启动项:

systemctl list-unit-files ​

如果 systemctl list-unit-files 命令的输出中,某个单元文件的 STATE 列显示为 "enabled",那么说明该单元文件是启用的,意味着它会在系统启动时自动加载和运行。

启动脚本通常位于/etc/init.d/​或/etc/rc.d/​目录(或其子目录如/etc/rc.d/init.d/​)来存储启动脚本中。

在一些Linux系统中,特别是使用systemd的系统,启动项脚本可能被保存在/etc/systemd/system/​或/lib/systemd/system/

要确切确定系统的启动项脚本存储路径,最好查看系统的文档或查看特定发行版的惯例。不同的Linux发行版可能会有一些差异。

分析对方是从什么点拿到的服务器权限

把内部的恶意脚本都清理干净后,再去分析对方是如何拿到系统权限并上传的这些恶意文件。

那得先看看这台服务器上运行的都有什么服务

有web服务吗?有的话用漏扫工具扫一下看看会不会有什么点

如果是windows系统是不是开启了远程桌面导致被爆破口令拿到的权限

还是说有Redis未授权等一些其它情况导致的。都需要排查清除

如果是web服务,那很有可能对方留下了后门文件,后门查杀出来的话就在服务器的logs日志里查谁访问了这个后门文件也可以定位出来这个攻击者的远程地址

grep "恶意IP" "web服务器日志路径" > ./ret.txt

  1. 查看访问的URL和参数: 如果攻击者使用了特定的URL路径或参数来进行攻击,注意查看这些信息。
  2. 审查服务器配置文件: 检查你的Web服务器配置文件,确保没有配置错误或者不安全的设置。特别关注是否有不必要的模块启用、权限设置是否正确,以及是否有不安全的目录或文件权限。
  3. 更新和修复漏洞: 确保你的Web服务器和相关的应用程序都是最新版本,并修复已知的漏洞。攻击者可能利用已知的漏洞来入侵系统。
  4. 应用安全补丁: 如果你发现了特定漏洞,确保应用了相关的安全补丁。这包括操作系统、Web服务器、数据库以及你的应用程序本身。

相关推荐
黎阳之光5 小时前
黎阳之光:视频孪生重构新能源智慧工地,打造大型风光基地数智化建设标杆
大数据·人工智能·物联网·安全·数字孪生
Agent手记6 小时前
安全生产巡检全流程自动化与隐患预警方案:2026工业Agent落地实战指南
数据库·人工智能·安全·ai·自动化
效能革命笔记7 小时前
Gitee DevSecOps 智能版本管理:军工软件工厂的依赖治理与供应链安全方案
网络·安全·gitee
未若君雅裁7 小时前
Spring Bean 作用域、线程安全与生命周期
java·安全·spring
企服AI产品测评局7 小时前
实测2026安全培训管理新范式:如何以“视觉大模型”破解AI内容生成与跨系统自动化难题?
人工智能·安全·ai·chatgpt·自动化
asaotomo8 小时前
全本地运行的隐私防线:Hx0 数据卫士如何实现浏览器敏感信息与输入防泄漏
安全·web安全·浏览器插件
沪漂阿龙9 小时前
Hermes Agent 安全边界全解析:让 AI Agent 敢执行、可控制、能回滚
人工智能·安全
云栖梦泽在10 小时前
AI安全实战:AI模型投毒攻击的检测与修复实战
大数据·人工智能·安全
上海云盾-小余10 小时前
内网终端安全管控:筑牢企业内部网络入侵防火墙
服务器·网络·安全
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?04CC-Switch & Claude 基于 Linux 服务器安装使用指南05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07几个好用的ip纯净度检测网站08【AI】2026 年具身智能模型和世界模型总结09用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比10codex app每次打开重连5次Reconnecting问题解决