展开

关键词

挖矿木马详解

一分钟了解什么是挖矿木马 什么是挖矿木马? 攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马挖矿木马,挖的是啥? 挖矿木马自查 挖矿木马自查 发现挖矿 CPU使用率 通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况下,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%: ? 网页挖矿 网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。 驱动挖矿 驱动挖矿是指挖矿木马通过注册驱动的方式驻留在系统中以确保持久性,ProtectionX挖矿木马就是其中一种,除了自保护和自启动外,还会释放安装驱动文件,木马运行流程如图: ?

7.7K61

挖矿木马自助清理手册

什么是挖矿木马 挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。 部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示: 1.png 二. 挖矿木马中招特征 挖矿木马会在用户不知情的情况下利用主机的算力进行挖矿,最明显的特征就是主机的CPU被大量消耗,查看云主机CPU占用率的方法有两种: 1. 控制台实例监控 2.png 2. 清除计划任务 大部分挖矿木马会通过在受感染主机中写入计划任务实现持久化,如果仅仅只是清除挖矿进程,无法将其根除,到了预设的时间点,系统会通过计划任务从黑客的C2服务器重新下载并执行挖矿木马。 清除挖矿木马 (1)清除挖矿进程 挖矿木马最大的特点就是会在用户不知情的情况下,利用主机的算力进行挖矿,从而消耗主机大量的CPU资源,所以,通过执行如下命令排查系统中占用大量CPU资源的进程。

24.7K10235
  • 广告
    关闭

    【玩转 Cloud Studio】有奖调研征文,千元豪礼等你拿!

    想听听你玩转的独门秘籍,更有机械键盘、鹅厂公仔、CODING 定制公仔等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    SSH僵尸主机挖矿木马预警

    攻击和挖矿方式显示黑产组织在相互竞争、木马更新等方面较去年又上了一个台阶。 ? 门罗币价格走势图 事件描述 近日,黑客利用SSH暴力破解服务器后种植挖矿木马,我们追踪到了其多个后台更新服务器。 黑客攻击服务器与种植挖矿木马过程包括三个步骤: 1. 攻击者探测SSH服务 2. 攻击者对SSH服务账户和密码进行暴力破解 3. 一旦暴力破解成功,攻击者远程下载并运行挖矿程序 下图是一个挖矿木马后台服务器的截图,从图中可以看出116.196.120.20这台服务器从2018年1月26日14点开始,xm.sh(下载器程序)已经被下载过 挖矿黑客之间的竞争愈发激烈 对比之前发现的同类型挖矿木马,本次发现的挖矿木马在代码上已经有了进一步的提升,之前发现的挖矿脚本,主要杀掉具体进程名,目前主要根据矿池信息杀掉挖矿进程,扩大了有效范围。 下图是两种类型挖矿木马杀掉其他木马的方式比较: ? 黑客的获利估计 从目前的样本获取的钱包地址来看,之前的挖矿币池已经向攻击者的钱包提交了34个XMR(约合8500美元,以当天价格$250计算)。

    76390

    挖矿木马看后渗透维权

    No.3 挖矿木马分析结果 阶段1 1.关闭防火墙和selinux。 4.定义一些变量,扰乱系统程序,干扰其它挖矿程序。 5.配置定时更新木马的文件,比如sysupdate,update.sh。 ? 2.系统命令和系统进程被劫持,一旦被劫持的系统进程或命令生效,挖矿木马再次激活。 ? 通过busybox尝试恢复被劫持的系统命令和进程后,重启服务器,重新登录服务器后依然有病毒进程被拉起,怀疑登录时加载的服务存在问题,最后终于发现/etc/bashrc 存在挖矿木马下载命令。 ? 结合挖矿木马的特性,可达到不死马的效果。 END

    1.1K30

    应急响应案例:kdevtmpfsi挖矿木马

    1.png 二、安全分析 1、隐藏进程 经过busybox核实到存在隐藏进程,百度核实为挖矿病毒 2.png 2、crontab 存在异常任务 3.png 下载链接已经失效,IP为海外。 4.png 3、进程文件并不存在 5.png 明显该木马在运行成功后,会自动清理运行文件。 4、文件dump出来核实是否为木马 6.png Virustotal 中核实文件是否异常。 gmcq.361yx.cn//g" /etc/hosts #解除加载异常动态库 > /etc/ld.so.preload #删除异常动态库 rm -fr /etc/libsystem.so #清除木马病毒

    2.5K151

    《绝地求生》辅助程序暗藏挖矿木马

    腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。 tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。 主程序启动后,联网访问一份进程列表。 ? 目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。 ? 0x3 溯源 该辅助工具虽然存在已久,但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。 从传播趋势看,该木马从12月8号开始影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。 ? 该辅助程序在12月22日晚宣布停用。 ?

    55370

    《绝地求生》辅助程序暗藏挖矿木马

    腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。 经分析,已确定该挖矿木马名为tlMiner,由一游戏辅助团队投放,目前已影响了数十万台用户机器。 绝地求生小辅助启动流程: ? 目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。 ? 0×3 溯源 该辅助工具虽然存在已久,但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。 从传播趋势看,该木马从12月8号开始影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。 ? 该辅助程序在12月22日晚宣布停用。 ?

    70070

    kworkerds 挖矿木马简单分析及清理

    公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。 先阻断外部连接,再清理定时任务,之后删除挖矿病毒本体,防止再生。 # 防止木马再次下载 echo '127.0.0.1 pastebin.com' >> /etc/hosts # 删除掉局域网服务器之间的免密登录 # 本机定时任务和木马都清理干净了,重启后木马又重新执行 sleep 10秒,判断是否与端口 13531 建立连接,如果没有则执行 downloadrunxm 函数,连接挖矿服务器。 预防 任何服务都要设置密码认证,且强密码。 linux 知识点 隐藏木马文件文件,防止通过时间排序来判断木马文件。

    73710

    藏在短链接下的挖矿木马:NovelMiner

    腾讯安全御见威胁情报中心持续检测到,一款名为NovelMiner的挖矿木马自2017年9月开始隐藏在广告短链接中进行传播。 据统计,全球约有100多个国家超过1500万用户由于误点带毒广告页面而自动下载了NovelMiner挖矿木马。 ? b.vbs负责下载并启动xmrig挖矿程序,木马常用VBS名及下载代码段: ? V1.0版木马攻击流程 ? 从pdb信息可以看出,该挖矿木马已经到了V3版本了,从作者机器名可以看出属于俄语区,“роаипроаип”英文译作“NovelNovel”,此木马取名为“NovelMiner”。 腾讯电脑管家提醒用户不要随意点开未知来源的陌生链接,电脑管家的“反挖矿防护”功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保持电脑管家运行状态即可对此类挖矿木马进行全面拦截

    49420

    比特币走高致“挖矿木马疯狂敛财

    ——网页“挖矿”,这种攻击会导致用户计算机资源被严重占用,而“挖矿木马则乘机利用用户电脑疯狂敛财,一个僵尸网络从被攻击的用户的电脑中获利可超300万元人民币。 信息安全专家表示,随着包括比特币等数字货币交易价格的火爆,加上自身不易被察觉的特点,“挖矿木马今年急剧增加,成为威胁网络安全的另一大隐患。 360信息安全专家表示,不同于通过入侵服务器搭建“挖矿木马僵尸网络,网页“挖矿”脚本更容易被用户所察觉,但由于利益驱使,目前不法分子仍通过各种方法在一些网站中植入了“挖矿”脚本。 业内专家预计,由于网页“挖矿”隐蔽性较低,未来不法分子或会将“挖矿”目标转移到网页游戏和客户端游戏中,通过游戏的资源高消耗率掩盖“挖矿”机的运作。而移动平台也有可能是“挖矿木马的重要目标。 由于“挖矿木马会持续驻留在计算机中,如果服务器管理员未定期查看服务器状态,那么“挖矿木马就难以被发现。因此服务器管理员应定期维护服务器。

    36490

    应急响应案例:aliyun.one 挖矿木马

    【背景】 服务器中了aliyun.one 挖矿木马 特点如下: 1、 crontab 中显示类似上面的任务,并且清理后又会出现。 2、 服务器负载高,CPU使用100%。 【木马源文件】 见附件 可以通过上面脚本分析执行的过程,从而找到清理该木马的方法 。 【清理】 注:以下操作如果删除不了或者修改不了 请执行 chattr –ia xx.xx 去掉只读属性。 xxx-x.x.so -f 四、停止sshservice服务 systemctl kill sshservice systemctl disable sshservice 五、busybox查看进程,杀掉挖矿进程和 由于没有清理干净或者漏洞,导致可能还会出现该木马,以及变异木马。 如果再次出现没有清理干净,原因: 某个进程已经加载了木马so,导致还会修改crontab任务 1、 开启audit审计功能,并加上标签方便后续进行分析。

    825161

    微软宣布使用Intel TDT技术检测挖矿木马

    英特尔威胁检测技术(TDT)可以和安全软件共享启发式检测和遥测技术,安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性...

    40940

    《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见

    在此背景下,腾讯安全近日发布《2020挖矿木马年度报告》(以下简称《报告》),以腾讯安全产品获取的安全事件告警工单数据为基础,从攻击来源、入侵特点、漏洞利用偏好、持久化运行手段等维度,剖析过去一年挖矿木马的攻击形势 WebLogic CVE-2019-2725是2020年挖矿木马最常利用的RCE漏洞。此外,利用各种未授权访问漏洞,也是挖矿木马的主要攻击路径之一。 常被挖矿木马爆破攻击的服务类型包括SSH、Mssql、Redis等。 利用僵尸网络渠道分发也成为挖矿木马越来越偏好的传播手段之一,甚至挖矿木马自身也在组建僵尸网络。 具备僵尸网络特征的挖矿木马TOP3仍是DTLMiner、H2Miner、GuardMiner这些老牌僵尸网络,而2020年新活跃的挖矿木马家族以攻击Linux服务器居多。 加强密码、授权验证、更新组件,三大措施抵御挖矿木马 针对日益猖獗的挖矿木马攻击,《报告》建议政企机构从多方面采取措施,保障服务器安全。

    42420

    “大黄蜂”远控挖矿木马分析与溯源

    通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。 技术分析: 通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀 挖矿模块 木马启动后会在%TEMP%目录下释放xmrigbu.exe 可执行文件,该可执行文件首先会将自身复制到%windir%\w1ninit.exe : ? w1ninit.exe运动后会创建%TEMP%\win1nit\win1nit.exe用于 挖矿,该文件由UPX加壳 保护。 通过分析发现,%TEMP%\win1nit\win1nit.exe 会首先访问服务器获取挖矿信息,包括矿池、矿工ID等,随后会配置好参数进行挖矿 : ? ? ?

    1.1K70

    比特币暴涨引发挖矿木马成倍增长,企业如何冲破“木马围城”?

    而虚拟货币繁荣背后,黑色数字产业链却早已将方向转向“挖矿”领域,挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。 近日,腾讯安全威胁情报中心态势感知系统提供的数据结果显示,针对云主机的挖矿木马样本量明显上涨,挖矿团伙控制的IP、Domain广度以及云上挖矿威胁数量也有较大程度上涨,挖矿木马整体呈现成倍增长趋势,给企业用户云主机安全带来严重威胁 虚拟币暴涨背后 新老挖矿家族合力加大攻击力度 受利益驱使,挖矿木马视更多企业用户为攻击目标。 这意味着,存在漏洞的服务器可能同时被多个挖矿木马团伙扫描入侵,如果不同挖矿木马火力全开同时挖矿,服务器就有彻底瘫痪的风险。 与此同时,新的挖矿团伙同样层出不穷。 因此,当僵尸网络也加入挖矿阵营,企业用户面临的安全风险也随之加大。 同时,经过长期演变,挖矿木马团伙的“挖矿”手段也越发成熟。

    34750

    你的挖矿木马上线了,更新、更快、更强!

    前言 没错,现在市面上又诞生了一种功能更强大的恶意挖矿软件。这款恶意软件名叫KingMiner,它可以利用Windows Server CPU的全部算力来挖矿。 解构 恶意挖矿攻击,指的是攻击者劫持目标用户的PC或系统,然后利用目标设备的CPU算力来进行隐蔽性的挖矿活动,而这种恶意活动也成为了个人用户和企业用户的“眼中钉,肉中刺”。 在大多数恶意挖矿攻击活动中,攻击者通常挖的是门罗币(XMR)和以太坊(ETH),如果窃取的算力有限制的话,这种攻击还是很难被发现的,而且挖矿收益会实时转移到攻击者的电子钱包中。 值得注意的是,这种攻击的吸引力已经超过了勒索软件,而且恶意挖矿攻击的隐蔽性更高。 就在前几天,Check Point的安全研究专家表示,他们检测到了一种新型的恶意挖矿软件,这款恶意软件名叫KingMiner。

    41220

    服务器被挖矿木马攻击该怎么处理

    这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。 关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ? 挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门 再一个特征就是木马文件存储的位置很隐蔽,文件名也是以一些系统的名字来隐藏,文件具有可复制,重生的功能,通信采用C与C端的模式,通信加密采用https,挖矿都是在挖以太坊以及比特币。 ? 针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    1.1K20

    木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

    挖矿木马家族更加活跃在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码: 2020年12月 22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播;2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击 ,随后植入挖矿木马。 2017年开始爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。 服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。

    15.6K626

    相关产品

    • 主机安全

      主机安全

      腾讯主机安全(CWP)利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解阻断、异常登录审计、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券