展开

关键词

kdevtmpfsi --实操

症状表现 服务器CPU资源使用一直于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是。 image.png 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi ,最后删除 kdevtmpfsi image.png 全部删除  find / -name "kdevtmpfsi" | xargs rm -rf find / -name "kinsing" | xargs rm -rf 至此杀工作基本进入尾声 物机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。

21320

kdevtmpfsi --实操

症状表现 服务器CPU资源使用一直于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是。 [image.png] 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi ,最后删除 kdevtmpfsi tplv-k3u1fbpfcp-zoom-1.image] 全部删除  find / -name "kdevtmpfsi" | xargs rm -rf find / -name "kinsing" | xargs rm -rf 至此杀工作基本进入尾声 物机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。

32540
  • 广告
    关闭

    腾讯云+社区系列公开课上线啦!

    Vite学习指南,基于腾讯云Webify部署项目。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Powershell 与防范

    ​​最近,一种利用Powershell的在企业网络中频繁爆发,该其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行。 在过去的一年里,至少了8起有关Powershell。今天我们就来谈一谈该方式和防范措施。 不过根据已经中过Powershell企业观察到的情况,Powershell除了耗尽服务器的CPU以外,也没有什其他破坏性的行为。 Powershell 目前已经有一些防厂商对Powershell进行查杀,建议通过防进行系统性的查杀,如果还没有防的企业,或者您企业中的防目前还无法查杀类似这种的时候 详细步骤如下: 1.结束Powershell.exe进程 由于服务器中了后,整反应会特别的慢,所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行(结束Powershell.exe

    1.7K31

    Linux,没你想象的那安全!

    image.png 样,很震撼吧! 2、 比特币等虚拟货币的不断升值,这个词变得家喻户晓。除了不断涨价的显卡外,又有骇客动起了歪脑筋,设计出了就是用你的服务器计算资源(CPU 、GPU)替他赚钱的牧马。 目前常见的有xmrig、门罗币、驱动PuMiner等,相比之前的勒索更加隐秘,你甚至不会察觉到你的服务器已经被公鸡,但是只要掌握了的发作特征以及时刻关注服务器状态 那感染的呢,目前比较常见的有漏洞感染,例如前段时间闹得比较凶的Redis未授权访问漏洞,就是的一种新型公鸡方式,在特定条件下,如果Redis以root身份运行,骇客可以给root 、RKHunter应用案例 10.云服务器被植入与原因分析案例 第三部分:性能调优 11.菜鸟运维初成长,记一次上线Linux服务器基础优化案例 12.对某电商平台动、静态网站的优化分析案例

    1K31

    ld-linux-x86-64木马实战记录

    其中防这块也是两年前才正式部署了企业版防软件,推广过程中也遇到了很多阻力及各种奇葩的安全念(比如生产服务器我不敢装防,万一瘫了办;领导的电脑,防还是别装吧,装了会很慢),这期间也遇到多起木马事件 现将几起木马的过程整一下跟大家分享,本系列偏向于实战。 如果是中了木马,木马程序对外应该主动发起连接,网络连接状态应该会有异常?木马比如占用系统CUP资源?内网服务器是中的木马?带着这些疑问,我开始逐步排查。 7、马某终端检查 之前在分析木马程序过程中,当把文件拷贝到本机时,防软件第一时间就已经自动隔离了两个文件,说明防软件是可以检测该木马的。 公司统一部署企业版终端防软件,可马某的电脑是的呢?

    1.3K20

    CPU被了,却找不到哪个进程!

    CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了,急的团团转。 ? ? 不过这对攻击者的技术要求也更高,遇到这样的起来挑战也更大了。 揪出进程 通过上面的进程隐藏原看得住来,都是想尽办法隐藏/proc目录下的内容,类似于“障眼法”,所以包含ps、top、ls等等在内的命令,都没办法看到进程的存在。 分析 把这个木马下载下来,反汇编引擎中查看,发现加壳了。 清除建议 开启SELinux 杀掉进程 删除程序(注意rm命令是否被替换) 删除驱动程序(注意rm命令是否被替换) 删除添加的登录凭据 防火墙封禁IP、端口 这个到底是植入进来的呢

    1.2K20

    当你“吃鸡”的时候,黑客正将你的电脑变成“鸡”!

    对苦兮兮的感兴趣了呢? 原来,其目的就是通过木马控制“肉鸡”来赚钱! 近日,腾讯反实验室发布了《2018年Q2季度互联网安全报告》(以下简称:报告)。 ? 据该报告显示,2018年Q2季度各式各样的类木马多达数千个变种,涉及十多种数字货币,78.08%的木马样本是用于取比特币。 善于伪装,木马主要藏匿在软件程序中 关于木马的传播途径和方式方面,报告指出仍然以文件格式为主,例如Win32类型,占全部类型的82.24%。 其次,也有不少以网页程序进行的脚本类,例如JS和HTML等,大约为7%左右,多见于色情、赌博等非法网站。 ? 据报告显示,78.08%的木马样本是用于取比特币,而其取他类型加密数据货币的样本占21.92%,其中就包括以太币、门罗币等。 这一现象与比特币现在的地位和价值走势一致。

    40320

    警惕EnMiner大开杀戒

    近日,深信服发现一种具有高强度对抗行为的新型的,其机制与常规相差较大,一旦感染上,清难度极大。 目前该于爆发初期,深信服已将此命名为EnMiner,并将持续追踪其发展状况并制定详细的应对措施。 此EnMiner,是目前遇到的“杀气”最重的,具有高强度的对抗行为,堪称“七反五杀”。 分析 攻击场景 EnMiner攻击,可谓有备而来,在干掉异己、对抗分析上做足了功夫。 ? 如上图,lsass.eXe为体(C:\Windows\temp目录下),负责功能。 这意味着如果杀软仅仅只杀掉lsass.eXe,则WMI每隔1小时后又会重新生成,又可以躺着。 截至目前,该有门罗币,目前该于爆发初期,深信服提醒广大用户加强防范。 ?

    77600

    想要“”致富?小心这些方式让你被,让别人致富!

    猖獗:算力不够人数来凑 随着“”的大热,肩负着使命的也跃升为今年最火的,默默吃瓜的我们可能一不小心就秒变“工”。 说到原因,还在于是一件考验计算机计算能力的事情,所以很多黑客爷就想借攻克大家电脑的方式,以利用我们的CPU为其赚钱。 那通常在什情况下,我们容易变成工? 于是他就在Twitter上喊话星巴克:歪~老兄,你家公共Wifi被黑客爷攻击了,快来看看哪~ ? 十天后,星巴克回复他,运营商正在了...... 用户只要打开这个软件就必须授予相应的权限,在软件获得权限后会自动“伪装”成为杀软件,表面上看起来对手机一点害都没有,甚至还会帮助手机清其他的流氓软件,但是一旦获取足够的权限和信任,用户就会收到乱七八糟的短信和电话 不仅如此,该实验室还曝出,AndroidOS.Loapi会利用手机组建模组,当模组启动后,你的手机就会变成机,就是说你不但被骗了钱,还在不知情的情况下在给不法分子赚钱,不得不说这款的手段实在是高超

    96320

    从一段代码看Linux命令的实际应用

    短期使用,上面没有数据,也没做什防范,结果不曾想,被盯上了,给了一个近距离接触的机会。 这是一款Linux和Windows通吃的,起名为DDG,目的是利用被侵入的计算机的资源协助自己,获取虚拟货币。该从去年一直活跃在现在,已经取了价值一千多万人民币的虚拟币货币。 发现服务器中了呢? 很多Linux系统管员嫌麻烦都把SELinux关闭了,也不需要费这个事了。 #!/bin/sh # 第一步是尝试关闭`SELinux`子系统。 程序的反编译见:http://m.simpreme.com/eevpuh.html。 都这努力的做好自己的工作的时候,我们有什由不好好学好Linux,尤其是做生物信息的朋友,这是基本功。

    4.7K120

    2018上半年区块链安全报告

    与区块链有关的讨论不仅遍存在于中关村的创业咖啡,更是存在于街头巷尾、地铁公交、微博微信,几乎无不在。 当企业遭遇勒索攻击,关键业务数据被加密,而论上根本无法解密时,而勒索代机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。 ? 2.木马“异军突起”,成币圈价值“风向标” 发展成为2018年传播最广的网络,且热度往往与币种价格成正比。 ,勿需投入物设备,而从最近爆出的木马事件中发现,木马可选择的币种越来越多,设计越来越复杂,隐藏也越来越深,下半年的将会持续活跃,与杀软件的对抗会愈演愈烈。 同时,安装正规杀软件并及时更新升级,当电脑卡顿、温度过热时,使用腾讯电脑管家进行检查,防止电脑被非法控制,造成不必要的损失; 对于企业网站、服务器资源的管者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装

    54660

    我的服务器接连被黑客攻击,我好难

    了? 根据过往的经验,这玩意不应该是点了网页上的小姐姐才会发生的事情吗?我这为什也就中了。 这东西是啥 既然已经中了,那就来看看这是什东西吧。 ,大家身在同一个工地都应该或多或少都听过吧,要是到个币,就不用苦逼写文章了,话说回来,要想币需要很强的计算资源,那也就需要众多的服务器来支撑,这里面有些逼呢又不想投入太多,只能通过一些恶的手段 如何这种 既然中了这种,导致我们的服务器很卡,那肯定要将它杀死,可能没接触过Linux的同学,已经考虑重装镜像了。 其实大可不必。 首先呢我们找到此进程将其kill掉。 这也就是为什我明明杀死了,没过多久又出现了的原因。 到这里我们已经完全到此了,如果你用的是阿里云ECS,当遇到这种东西的时候,其实会短信通知你,只不过当时太年轻没在意,另外服务器端口默认是22,自己最好改个端口,不然很容易被恶人攻击。

    28940

    工玩比特币到底害了谁

    例如中国电信校园门户网站提供下载的 “天翼校园客户端”携带了的后门,让不少学生朋友的电脑都沦为了的肉鸡。 甚至连官网软件都被植入代码 除了PC电脑,手机也没少遭到代码的袭击。 近年出现的不少恶意App,都和代码有关。例如,前不久爆出的安卓全新全新AndroidOS.Loapi,内建了模组,在用户毫不知情的情况下用手机运算代码。 虽然单个手机的算力也许很小,但多个手机一起,还是颇为行之有效的。在移动互联网时代,手机恶意代码拥有更多的传播途径,植入了代码的手机在以后或许还会越来越多。 除了利用木马进行,黑客还有更加简单粗暴的方法——勒索。相信很多朋友仍对今年爆发的Wannacry心有余悸,这类勒索会加密磁盘的数据,然后勒索你,必须给黑客汇去比特币才能解密。 如果说代码只是偷,这方法已经是抢了。自从比特币出现后,勒索的增长有目共睹,不得不说比特币等数字货币的确能令很多人陷入疯狂。

    49990

    黑客利用门罗币 已获利 60 余万

    作者十分谨慎,将蠕虫及其下载的全部模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的只会在用户电脑空闲时进行,并且占用CPU资源很低,隐蔽性非常强。 被该感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫样本既其下载的其他程序全部均使用了相同的混淆器,此对其所使用的混淆器进行统一分析,下文中不再赘述。 会创建互斥量,通过检测互斥量,可以保证系统中的进程实例唯一。之后,会使用参数启动自身程序,再将程序(XMRig)PE镜像数据注入到新启动的进程中执行逻辑。 行为 如上图所示,参数中限制程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动进程。 通过遍历进程检测任务管器进程(Taskmgr.exe)是否存在,如果存在则会停止,待任务管进程退出后继续执行逻辑。

    70130

    蠕虫“RoseKernel”迅速蔓延 政企单位网络易被攻击 ​

    入侵电脑后,会同时执行“”(门罗币)、破坏Windows签名校验机制、传播后门等系列恶意行为。 入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行“”(门罗币),并结束其它程序,以让自己独占计算机资源,使“”利益最大化。 版本升级 隐藏 “rknrlmon”脚本还会查看当前环境中是否存在任务管器,如果存在,则结束程序,反之执行,从而可以提高的隐蔽性。相关代码,如下图所示: ? 感染前后文件数字签名信息 结束其他程序 在启动程序后,还会通过WMI遍历当前进程列表,如果存在“xmrig”、“xmrig-amd”等含有工名称的进程时会结束对应进程。 释放 U盘传播 该会在移动存储设备中创建与根目录中文件夹名近乎相同的快捷方式(如果该文件夹名长度不等于一,那会删除原始文件名最后一个字符,然后以这个名字创建快捷方式),同时将真实的文件夹隐藏

    45340

    Linux应急故事之四两拨千斤:黑客一个小小玩法,如何看瞎双眼

    0x01 刘同学 刘同学打开安全感知平台,找到对应主机,发现报的是虚拟货币。刘同学会心一笑,检测有近乎100%的准确率,抓个,跟日常打怪一样简单。 ? 这种不合常的现象,令他百思不得其解,甚至怀疑中了rootkit,但尝试rootkit扫描工具,仍然一无所获。 原也很简单,调用execv创建目标进程。 ? 就是开源的xmrig,从config.json中读取钱包地址后开始。 ? 是当前安全事件中最为流行的一种,深信服安全感知对这类有近乎100%的准确率。 此外,建议用户对Linux主机进行安全基线的加固,增加密码的复杂度与帐号锁定策略。 这里还有一点,如果用户部署了深信服终端检测响应平台(EDR),那用户将直接可以对告警主机进行查杀,无需人工干预,即可做到快速置。对于肉眼难以发现的空格隐藏问题,必然是无障碍清的!

    1.6K10

    诺顿360“偷偷”被怒喷,杀软件手伸向GPU,官方:都是为了用户好

    要知道,诺顿360可是在无数官推民选的排行榜中常年名列前茅,算得上是杀界的头部软件了。 这一个猛料,顿时就一石激起千层浪,引起了网友们的愤怒: 敢情你这杀软件自己就是啊! 一位网友调侃说:杀软件自知杀不掉,所以你们“打不过就加入”? 还有用户说,以前我的杀软件跑满了CPU,现在终于把魔掌伸向GPU了。 虽然,遭到大批网友怒喷,但诺顿的官网却表示: 这是为了你们好啊,现在软件太多了,还会损害你的电脑,用我们的软件更安全。 作为报酬,诺顿将从用户的所得中抽取15%的份额作为“服务费”。 所以这到底是杀软件真的“耍流氓”,还是一场误会? 打不过就加入? 其实,这个被无数网友声讨的“程序”并非突然出现。 早在2021年6月份,诺顿就在官网公开宣称将加入一个用于采的新特性。 这样就又产生了一笔费用,付给Coinbase平台的费(俗称“GAS费”)。 把电脑的空闲时间变成现钱?果然没那简单。

    6610

    扫码关注云+社区

    领取腾讯云代金券