症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 image.png 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi image.png 全部删除 find / -name "kdevtmpfsi" | xargs rm -rf find / -name "kinsing" | xargs rm -rf 至此杀毒工作基本进入尾声 物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 [image.png] 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi tplv-k3u1fbpfcp-zoom-1.image] 全部删除 find / -name "kdevtmpfsi" | xargs rm -rf find / -name "kinsing" | xargs rm -rf 至此杀毒工作基本进入尾声 物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
Vite学习指南,基于腾讯云Webify部署项目。
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。 在过去的一年里,至少处理了8起有关Powershell挖矿病毒。今天我们就来谈一谈该病毒的处理方式和防范措施。 不过根据已经中过Powershell挖矿病毒企业观察到的情况,Powershell挖矿病毒除了耗尽服务器的CPU以外,也没有什么其他破坏性的行为。 处理Powershell挖矿病毒 目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀,建议通过防病毒进行系统性的查杀,如果还没有防病毒的企业,或者您企业中的防病毒目前还无法查杀类似这种挖矿病毒的时候 详细步骤如下: 1.结束Powershell.exe进程 由于服务器中了挖矿病毒后,整理反应会特别的慢,所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理(结束Powershell.exe
image.png 怎么样,很震撼吧! 2、挖矿病毒 比特币等虚拟货币的不断升值,挖矿这个词变得家喻户晓。除了不断涨价的显卡外,又有骇客动起了歪脑筋,设计出了挖矿病毒。挖矿病毒就是用你的服务器计算资源(CPU 、GPU)替他挖矿赚钱的牧马。 目前常见的挖矿病毒有xmrig挖矿病毒、门罗币挖矿病毒、驱动挖矿病毒PuMiner等,相比之前的勒索病毒,挖矿病毒更加隐秘,你甚至不会察觉到你的服务器已经被公鸡,但是只要掌握了挖矿病毒的发作特征以及时刻关注服务器状态 那么挖矿病毒是怎么感染的呢,目前比较常见的有漏洞感染,例如前段时间闹得比较凶的Redis未授权访问漏洞,就是挖矿病毒的一种新型公鸡方式,在特定条件下,如果Redis以root身份运行,骇客可以给root 、RKHunter应用案例 10.云服务器被植入挖矿病毒的处理与原因分析案例 第三部分:性能调优 11.菜鸟运维初成长,记一次上线Linux服务器基础优化案例 12.对某电商平台动、静态网站的优化分析案例
其中防病毒这块也是两年前才正式部署了企业版防病毒软件,推广过程中也遇到了很多阻力及各种奇葩的安全理念(比如生产服务器我不敢装防病毒,万一瘫了怎么办;领导的电脑,防病毒还是别装吧,装了会很慢),这期间也遇到多起病毒木马事件 现将几起病毒木马的处理过程整理一下跟大家分享,本系列偏向于实战。 如果是中了挖矿木马,木马程序对外应该主动发起连接,网络连接状态应该会有异常?挖矿木马比如占用系统CUP资源?内网服务器是怎么中的挖矿木马?带着这些疑问,我开始逐步排查。 7、马某终端检查 之前在分析木马程序过程中,当把病毒文件拷贝到本机时,防病毒软件第一时间就已经自动隔离了两个文件,说明防病毒软件是可以检测该挖矿木马的。 公司统一部署企业版终端防病毒软件,可马某的电脑是怎么中毒的呢?
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 ? ? 不过这对攻击者的技术要求也更高,遇到这样的病毒清理起来挑战也更大了。 揪出挖矿进程 通过上面的进程隐藏原理看得住来,都是想尽办法隐藏/proc目录下的内容,类似于“障眼法”,所以包含ps、top、ls等等在内的命令,都没办法看到挖矿进程的存在。 挖矿病毒分析 把这个挖矿木马下载下来,反汇编引擎中查看,发现加壳了。 清除建议 开启SELinux 杀掉挖矿进程 删除病毒程序(注意rm命令是否被替换) 删除病毒驱动程序(注意rm命令是否被替换) 删除病毒添加的登录凭据 防火墙封禁IP、端口 这个病毒到底是怎么植入进来的呢
怎么对苦兮兮的挖矿感兴趣了呢? 原来,其目的就是通过木马控制“肉鸡”来挖矿赚钱! 近日,腾讯反病毒实验室发布了《2018年Q2季度互联网安全报告》(以下简称:报告)。 ? 据该报告显示,2018年Q2季度各式各样的挖矿类木马病毒多达数千个变种,涉及十多种数字货币,78.08%的挖矿木马病毒样本是用于挖取比特币。 善于伪装,木马主要藏匿在软件程序中 关于木马的传播途径和方式方面,报告指出仍然以文件格式为主,例如Win32类型挖矿病毒,占全部类型的82.24%。 其次,也有不少以网页程序进行挖矿的脚本类病毒,例如JS和HTML等,大约为7%左右,多见于色情、赌博等非法网站。 ? 据报告显示,78.08%的挖矿木马病毒样本是用于挖取比特币,而其挖取他类型加密数据货币的病毒样本占21.92%,其中就包括以太币、门罗币等。 这一现象与比特币现在的地位和价值走势一致。
近日,深信服发现一种具有高强度病毒对抗行为的新型的挖矿病毒,其病毒机制与常规挖矿相差较大,一旦感染上,清理难度极大。 目前该病毒处于爆发初期,深信服已将此病毒命名为EnMiner挖矿病毒,并将持续追踪其发展状况并制定详细的应对措施。 此EnMiner病毒,是目前遇到的“杀气”最重的挖矿病毒,具有高强度的病毒对抗行为,堪称“七反五杀”。 病毒分析 攻击场景 EnMiner病毒攻击,可谓有备而来,在干掉异己、对抗分析上做足了功夫。 ? 如上图,lsass.eXe为挖矿病毒体(C:\Windows\temp目录下),负责挖矿功能。 这意味着如果杀软仅仅只杀掉lsass.eXe,则WMI每隔1小时后又会重新生成,又可以躺着挖矿。 截至目前,该病毒已挖有门罗币,目前该病毒处于爆发初期,深信服提醒广大用户加强防范。 ?
挖矿病毒猖獗:算力不够人数来凑 随着“挖矿”的大热,肩负着挖矿使命的病毒也跃升为今年最火的病毒,默默吃瓜的我们可能一不小心就秒变“矿工”。 说到原因,还在于挖矿是一件考验计算机计算能力的事情,所以很多黑客挖爷就想借病毒攻克大家电脑的方式,以利用我们的CPU为其挖矿赚钱。 那通常在什么情况下,我们容易变成矿工? 于是他就在Twitter上喊话星巴克:歪~老兄,你家公共Wifi被黑客挖爷攻击了,快来看看哪~ ? 十天后,星巴克回复他,运营商正在处理了...... 用户只要打开这个软件就必须授予相应的权限,在软件获得权限后会自动“伪装”成为杀毒软件,表面上看起来对手机一点害处都没有,甚至还会帮助手机清理其他的流氓软件,但是一旦获取足够的权限和信任,用户就会收到乱七八糟的短信和电话 不仅如此,该实验室还曝出,AndroidOS.Loapi会利用手机组建挖矿模组,当挖矿模组启动后,你的手机就会变成挖矿机,就是说你不但被骗了钱,还在不知情的情况下在给不法分子赚钱,不得不说这款病毒的手段实在是高超
短期使用,上面没有数据,也没做什么防范,结果不曾想,被挖矿病毒盯上了,给了一个近距离接触病毒的机会。 这是一款Linux和Windows通吃的病毒,起名为DDG挖矿病毒,目的是利用被侵入的计算机的资源协助自己挖矿,获取虚拟货币。该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币。 怎么发现服务器中病毒了呢? 很多Linux系统管理员嫌麻烦都把SELinux关闭了,病毒也不需要费这个事了。 #!/bin/sh # 病毒第一步是尝试关闭`SELinux`子系统。 挖矿程序的反编译见:http://m.simpreme.com/eevpuh.html。 病毒都这么努力的做好自己的工作的时候,我们有什么理由不好好学好Linux,尤其是做生物信息的朋友,这是基本功。
与区块链有关的讨论不仅遍存在于中关村的创业咖啡,更是存在于街头巷尾、地铁公交、微博微信,几乎无处不在。 当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,而勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。 ? 2.挖矿木马“异军突起”,成币圈价值“风向标” 挖矿病毒发展成为2018年传播最广的网络病毒,且挖矿热度往往与币种价格成正比。 ,勿需投入物理设备,而从最近爆出的挖矿木马事件中发现,挖矿木马可选择的币种越来越多,设计越来越复杂,隐藏也越来越深,下半年的挖矿将会持续活跃,与杀毒软件的对抗会愈演愈烈。 同时,安装正规杀毒软件并及时更新升级,当电脑卡顿、温度过热时,使用腾讯电脑管家进行检查,防止电脑被非法控制,造成不必要的损失; 对于企业网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒
中病毒了? 根据过往的经验,这玩意不应该是点了网页上的小姐姐才会发生的事情吗?我这为什么也就中毒了。 这东西是啥 既然已经中毒了,那就来看看这是什么东西吧。 挖矿病毒,大家身在同一个工地都应该或多或少都听过挖矿吧,要是挖到个币,就不用苦逼写文章了,话说回来,要想挖币需要很强的计算资源,那么也就需要众多的服务器来支撑,这里面有些逼呢又不想投入太多,只能通过一些恶毒的手段 如何处理这种病毒 既然中了这种病毒,导致我们的服务器很卡,那么肯定要将它杀死,可能没怎么接触过Linux的同学,已经考虑重装镜像了。 其实大可不必。 首先呢我们找到此进程将其kill掉。 这也就是为什么我明明杀死了病毒,没过多久又出现了的原因。 到这里我们已经完全处理到此病毒了,如果你用的是阿里云ECS,当遇到这种东西的时候,其实会短信通知你,只不过当时太年轻没怎么在意,另外服务器端口默认是22,自己最好改个端口,不然很容易被恶人攻击。
例如中国电信校园门户网站提供下载的 “天翼校园客户端”携带了挖矿的后门病毒,让不少学生朋友的电脑都沦为了挖矿的肉鸡。 甚至连官网软件都被植入挖矿代码 除了PC电脑,手机也没少遭到挖矿代码的袭击。 近年出现的不少恶意App,都和挖矿代码有关。例如,前不久爆出的安卓全新病毒全新病毒AndroidOS.Loapi,内建了挖矿模组,在用户毫不知情的情况下用手机运算挖矿代码。 虽然单个手机的算力也许很小,但多个手机一起挖矿,还是颇为行之有效的。在移动互联网时代,手机恶意代码拥有更多的传播途径,植入了挖矿代码的手机病毒在以后或许还会越来越多。 除了利用病毒木马进行挖矿,黑客还有更加简单粗暴的方法——勒索。相信很多朋友仍对今年爆发的Wannacry病毒心有余悸,这类勒索病毒会加密磁盘的数据,然后勒索你,必须给黑客汇去比特币才能解密。 如果说挖矿代码只是偷,这方法已经是抢了。自从比特币出现后,勒索病毒的增长有目共睹,不得不说比特币等数字货币的确能令很多人陷入疯狂。
病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。 被该病毒感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器,此处对其所使用的混淆器进行统一分析,下文中不再赘述。 病毒会创建互斥量,通过检测互斥量,可以保证系统中的病毒进程实例唯一。之后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。 挖矿病毒行为 如上图所示,挖矿参数中限制挖矿程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动挖矿进程。 通过遍历进程检测任务管理器进程(Taskmgr.exe)是否存在,如果存在则会停止挖矿,待任务管理进程退出后继续执行挖矿逻辑。
病毒入侵电脑后,会同时执行“挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。 病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行“挖矿”(门罗币),并结束其它挖矿程序,以让自己独占计算机资源,使“挖矿”利益最大化。 版本升级 隐藏挖矿 “rknrlmon”脚本还会查看当前环境中是否存在任务管理器,如果存在,则结束挖矿程序,反之执行,从而可以提高病毒的隐蔽性。相关代码,如下图所示: ? 感染前后病毒文件数字签名信息 结束其他挖矿程序 在启动挖矿程序后,还会通过WMI遍历当前进程列表,如果存在“xmrig”、“xmrig-amd”等含有矿工名称的进程时会结束对应进程。 释放病毒 U盘传播 该病毒会在移动存储设备中创建与根目录中文件夹名近乎相同的病毒快捷方式(如果该文件夹名长度不等于一,那么该病毒会删除原始文件名最后一个字符,然后以这个名字创建快捷方式),同时将真实的文件夹隐藏
0x01 刘同学 刘同学打开安全感知平台,找到对应主机,发现报的是虚拟货币挖矿。刘同学会心一笑,挖矿检测有近乎100%的准确率,抓个挖矿小病毒,跟日常打怪一样简单。 ? 这种不合常理的现象,令他百思不得其解,甚至怀疑中了rootkit病毒,但尝试rootkit扫描工具,仍然一无所获。 原理也很简单,调用execv创建目标进程。 ? 挖矿病毒就是开源的xmrig,从config.json中读取钱包地址后开始挖矿。 ? 挖矿病毒是当前安全事件中最为流行的一种病毒,深信服安全感知对这类病毒有近乎100%的准确率。 此外,建议用户对Linux主机进行安全基线的加固,增加密码的复杂度与帐号锁定策略。 这里还有一点,如果用户部署了深信服终端检测响应平台(EDR),那么用户将直接可以对告警主机进行查杀,无需人工干预,即可做到快速处置。对于肉眼难以发现的空格隐藏问题,必然是无障碍清理的!
要知道,诺顿360可是在无数官推民选的排行榜中常年名列前茅,算得上是杀毒界的头部软件了。 这么一个猛料,顿时就一石激起千层浪,引起了网友们的愤怒: 敢情你这杀毒软件自己就是病毒啊! 一位网友调侃说:杀毒软件自知杀不掉挖矿病毒,所以你们“打不过就加入”? 还有用户说,以前我的杀毒软件跑满了CPU,现在终于把魔掌伸向GPU了。 虽然,遭到大批网友怒喷,但诺顿的官网却表示: 这是为了你们好啊,现在挖矿病毒软件太多了,还会损害你的电脑,用我们的软件挖矿更安全。 作为报酬,诺顿将从用户的挖矿所得中抽取15%的份额作为“服务费”。 所以这到底是杀毒软件真的“耍流氓”,还是一场误会? 打不过病毒就加入? 其实,这个被无数网友声讨的“挖矿程序”并非突然出现。 早在2021年6月份,诺顿就在官网公开宣称将加入一个用于采矿的新特性。 这样就又产生了一笔费用,付给Coinbase平台的处理费(俗称“GAS费”)。 把电脑的空闲时间变成现钱?果然没那么简单。
网络安全事件响应与处理,保障云上资产安全性。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
命令行工具
SSL 证书