应急响应-挖矿病毒处理

应急响应-挖矿病毒处理

使用top​命令实时监控占用CPU资源的是哪个进程,结果可以看到是2725这个进程。

image

再使用netstat -anltp命令查看网络连接状态,定位到对应的PID号后,就拿到了远程地址

image

拿到远程IP,结果是VPN入口不是矿池。但也可以知道这个远程地址吧就不是好玩意。

image

再去到/proc目录里面,找到对应PID号的文件夹;这个文件夹包含系统中运行进程的信息

执行 ls -l exe​这个命令可以查看这个进程的执行路径,这将显示指向进程可执行文件的符号链接。就可以知道这个恶意的程序在系统中的位置。

image

再通过ps -ajxf​命令看一下这个恶意程序有没有创建其它子线程;结果是并没有其它关联的进程或线程了

image

没有发现其它进程了那就可以直接​ kill -9 2725​杀掉进程即可。

如果发现了其它进程就需要​ kill -9 -2725​;在这个进程号前面加上**-号**,会直接杀掉整个进程组(这种方式会发送信号给进程组中的所有进程,不需要特别指定父进程号或者特定的子进程号)

image杀掉之后,需要监控一下,程序是否会再自动运行起来,这里并没有。

如果这个文件有a和i属性会导致文件不可修改也不可删除
chattr -a filename

chattr -i filename

把文件的这两个属性去除掉即可

如果文件乱码无法通过文件名来删除文件,则可以通过文件i节点号删除即可

ls -il ​​ :获取文件的i节点号
find ./ -inum ​​**i节点号值**​​ -exec rm -f {} \;​ 不需确定直接删除指定i节点号对应的文件

​​

挖矿病毒一般会加入启动项或者定时任务里面,都需要排查。

而且定时任务和启动项也可能会因为某个程序而自动创建,导致你删了定时任务后又会出现定时任务这种删不干净的情况。

所以如果条件允许的话在清除掉相关定时任务和启动项后重启一下服务器或许可以解决这种情况,不允许重启系统就需要搞清楚到底是哪个脚本在自动创建定时任务,删除它。

定时任务的查看:

  1. 使用crontab -l 命令查看当前用户的定时任务列表。

  2. 对于root用户,你可以使用crontab -l -u username​来查看其他用户的定时任务。

  3. 查看cron.daily、cron.weekly等目录:定时任务可能还被配置在/etc/cron.daily/​、/etc/cron.weekly/​等目录中。这些目录包含了系统每日、每周定时执行的任务。

    1.  ls /etc/cron.daily/ls /etc/cron.weekly/ls /etc/crontabls /etc/cron.d/cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}  # 查看所有用户的定时任务#定时任务的配置文件也会存储在/var/spool/cron/目录中。每个用户的定时任务可以在对应的用户目录下找到。ls /var/spool/cron/cat /var/spool/cron/Your_username

发现跟挖矿程序相关的定时任务都清理掉,下面的自启动项也是同理

查看启动项:

systemctl list-unit-files ​

如果 systemctl list-unit-files 命令的输出中,某个单元文件的 STATE 列显示为 "enabled",那么说明该单元文件是启用的,意味着它会在系统启动时自动加载和运行。

启动脚本通常位于/etc/init.d/​或/etc/rc.d/​目录(或其子目录如/etc/rc.d/init.d/​)来存储启动脚本中。

在一些Linux系统中,特别是使用systemd的系统,启动项脚本可能被保存在/etc/systemd/system/​或/lib/systemd/system/

要确切确定系统的启动项脚本存储路径,最好查看系统的文档或查看特定发行版的惯例。不同的Linux发行版可能会有一些差异。

分析对方是从什么点拿到的服务器权限

把内部的恶意脚本都清理干净后,再去分析对方是如何拿到系统权限并上传的这些恶意文件。

那得先看看这台服务器上运行的都有什么服务

有web服务吗?有的话用漏扫工具扫一下看看会不会有什么点

如果是windows系统是不是开启了远程桌面导致被爆破口令拿到的权限

还是说有Redis未授权等一些其它情况导致的。都需要排查清除

如果是web服务,那很有可能对方留下了后门文件,后门查杀出来的话就在服务器的logs日志里查谁访问了这个后门文件也可以定位出来这个攻击者的远程地址

grep "恶意IP" "web服务器日志路径" > ./ret.txt

  1. 查看访问的URL和参数: 如果攻击者使用了特定的URL路径或参数来进行攻击,注意查看这些信息。
  2. 审查服务器配置文件: 检查你的Web服务器配置文件,确保没有配置错误或者不安全的设置。特别关注是否有不必要的模块启用、权限设置是否正确,以及是否有不安全的目录或文件权限。
  3. 更新和修复漏洞: 确保你的Web服务器和相关的应用程序都是最新版本,并修复已知的漏洞。攻击者可能利用已知的漏洞来入侵系统。
  4. 应用安全补丁: 如果你发现了特定漏洞,确保应用了相关的安全补丁。这包括操作系统、Web服务器、数据库以及你的应用程序本身。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/196702.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

node运行报错:error:0308010C:digital envelope routines::unsupported

node运行报错:error:0308010C:digital envelope routines::unsupported

运行vue前端项目时遇到报错,分析因为node版本不支持。 主要是因为 nodeJs V17 版本发布了 OpenSSL3.0 对算法和秘钥大小增加了更为严格的限制,nodeJs v17 之前版本没影响,但 V17 和之后版本会出现这个错误。 我的node版本是v20。 方案1&…
阅读更多...
SQL Sever 基础知识 - 数据筛选(2)

SQL Sever 基础知识 - 数据筛选(2)

SQL Sever 基础知识 - 四、数据筛选 第3节 NULL3.1 NULL 和三值逻辑3.2 IS NULL / IS NOT NULL 第4节 AND4.1 AND 运算符简介4.2 AND 运算符示例4.2.1 一个 AND 运算符4.2.2 多个 AND 运算符4.2.3 将 AND 运算符与其他逻辑运算符一起使用 第5节 OR5.1 OR 运算符简介5.2 OR 运算…
阅读更多...
Python高效编程:十招实用技巧大揭秘!

Python高效编程:十招实用技巧大揭秘!

更多资料获取 📚 个人网站:ipengtao.com 1. 代码优化与高效数据结构 Python中使用合适的数据结构对于代码性能至关重要。例如,使用字典(dict)快速查找元素: # 使用字典进行快速查找 sample_dict {a: 1,…
阅读更多...
Linux lshw命令(lshw指令)(List Hardware,获取底层硬件信息)(查询硬件信息)

Linux lshw命令(lshw指令)(List Hardware,获取底层硬件信息)(查询硬件信息)

文章目录 Linux lshw命令:一个全面的硬件信息查询工具介绍安装lshw使用lshwlshw的选项和参数lshw文档英文文档中文文档 命令示例lshw -c network -sanitize查看系统网络硬件信息,并移除敏感项(显示为REMOVED) lshw与其他命令的对比…
阅读更多...
创新零售巨头:揭开山姆与Costco蓬勃发展背后的秘密

创新零售巨头:揭开山姆与Costco蓬勃发展背后的秘密

会员制商店这个冷门的业态突然之间硝烟弥漫,更多的资本开始涌向付费会员商店这一业态,本文即将探讨的是付费会员制的成功秘诀和零售企业可行的发展路径。Costco的发展经验对国内超市巨头的崛起具有显著的借鉴意义,以优质低价商品服务为中心&a…
阅读更多...
.NET Core6.0 MVC+layui+SqlSugar 简单增删改查

.NET Core6.0 MVC+layui+SqlSugar 简单增删改查

HTML部分: {ViewData["Title"] "用户列表"; } <!DOCTYPE html> <html> <head><meta charset"utf-8"><title>用户列表</title><meta name"renderer" content"webkit"><meta …
阅读更多...
VUE2+THREE.JS 销毁,防止越来越卡顿

VUE2+THREE.JS 销毁,防止越来越卡顿

THREE.JS 销毁 将场景相关的参数重置&#xff0c;防止页面多次打开&#xff0c;导致的越来越卡顿的问题 beforeDestroy() {this.resetScene(); }, deactivated() {this.resetScene(); },//销毁场景等信息 resetScene() {this.isShowWebgl false; //销毁divtry {cancelAnimatio…
阅读更多...
【LeetCode 0151】【字符串】反转字符串中的单词

【LeetCode 0151】【字符串】反转字符串中的单词

题目 https://leetcode.com/problems/reverse-words-in-a-string/ 题解 正则高阶函数 var reverseWords function(s) {return s.split(/[\s]/).filter(e>e!"").reverse().join(" ") };迭代双指针&#xff08;时间O(n) 空间O(n) &#xff09;&am…
阅读更多...
【网络奇缘】- 计算机网络|分层结构|深入探索TCP/IP模型|5层参考模型

【网络奇缘】- 计算机网络|分层结构|深入探索TCP/IP模型|5层参考模型

​ &#x1f308;个人主页: Aileen_0v0&#x1f525;系列专栏: 一见倾心,再见倾城 --- 计算机网络~&#x1f4ab;个人格言:"没有罗马,那就自己创造罗马~" 目录 OSI参考模型与TCP/IP参考模型相同点 OSI参考模型与TCP/IP参考模型不同点 面向连接三阶段&#xff08…
阅读更多...
(C语言)计算n的阶乘

(C语言)计算n的阶乘

要求使用双精度 #include<stdio.h> double factorial(int n) {if(n 1)return 1;return n * factorial(n-1); } int main() {int n ;double res;scanf("%d",&n);res factorial(n);printf("%lf",res); return 0; } 运行截图&#xff1a; 注&am…
阅读更多...
深入微服务架构 | 微服务与k8s架构解读

深入微服务架构 | 微服务与k8s架构解读

微服务项目架构解读 ① 什么是微服务&#xff1f; 微服务是指开发一个单个小型的但有业务功能的服务&#xff0c;每个服务都有自己的处理和轻量通讯机制&#xff0c;可以部署在单个或多个服务器上。 微服务也指一种种松耦合的、有一定的有界上下文的面向服务架构。也就是说&…
阅读更多...
react结合vant的Dialog实现签到弹框操作

react结合vant的Dialog实现签到弹框操作

1.需求 有时候在开发的时候&#xff0c;需要实现一个签到获取积分的功能&#xff0c;使用react怎么实现呢&#xff1f; 需求如下&#xff1a; 1.当点击“签到”按钮时&#xff0c;弹出签到框 2.展示签到信息&#xff1a; 签到天数&#xff0c; 对应天数签到能够获取的积分&…
阅读更多...
08 # 接口:函数类型接口

08 # 接口:函数类型接口

变量定义函数类型 let addFunc: (x: number, y: number) > number;接口定义函数类型 interface AddFunc1 {(x: number, y: number): number; }类型别名定义函数类型 type AddFunc2 (x: number, y: number) > number;实现具体函数 let add1: AddFunc1 (x, y) > x…
阅读更多...
AI代码助手:写代码“如虎添翼”

AI代码助手:写代码“如虎添翼”

当你还在头疼如何写好代码&#xff0c;如何更好的快速完成项目时&#xff0c; 这些工具能自动为你编写代码或提供替代的解决方案&#xff1a; 1.Cursor Cursor&#xff0c;一个看上去平平无奇的IDE&#xff0c;但它可以直接调用GPT-4来帮你生成代码。作者Aman Sanger说他们是…
阅读更多...
两年外包生涯做完,技术退步了5年不止。。。。

两年外包生涯做完,技术退步了5年不止。。。。

先说一下自己的情况。大专生&#xff0c;17年通过校招进入湖南某软件公司&#xff0c;干了接近2年的点点点&#xff0c;今年年上旬&#xff0c;感觉自己不能够在这样下去了&#xff0c;长时间呆在一个舒适的环境会让一个人堕落&#xff01;而我已经在一个企业干了五年的功能测试…
阅读更多...
绝密人性天书

绝密人性天书

《绝密人性天书》&#xff0c;教你如何洞察人性&#xff0c;一开始本以为是那种成功学的套路书籍&#xff0c;拜读之后深感作者真正的高明之处&#xff0c;分析人性很接地气&#xff0c;在这里分享原文的几个观点。 1、人性的真相什么&#xff1f; 从小到大&#xff0c;没人告…
阅读更多...
DistributionBalancedLoss

DistributionBalancedLoss

Distribution-Balanced Loss P I ( x k ) P^I(x^k) PI(xk) 1 C ∑ y i k 1 1 n i {1\over C}\sum\limits_{y_i^k1}{1\over{n_i}} C1​yik​1∑​ni​1​&#xff0c; P i C ( x k ) P^C_i(x^k) PiC​(xk) 1 C 1 n i {1\over C}{1\over{n_i}} C1​ni​1​ r i k _i^k ik​ P i …
阅读更多...
各种镜像源

各种镜像源

8个国内镜像源 以下是中国常见的pip镜像源&#xff0c;按照完全度和下载速度排序&#xff0c;需要注意的是&#xff0c;镜像源的完全度和速度可能因地域和时间而异&#xff0c;建议根据自己的实际情况选择合适的镜像源。 1 清华大学&#xff08;完全度和速度都很好&#xff0…
阅读更多...
TrustZone概述

TrustZone概述

目录 一、概述 1.1 在开始之前 二、什么是TrustZone? 2.1 Armv8-M的TrustZone 2.2 Armv9-A Realm Management Ext
阅读更多...
使用正则表达式时-可能会导致性能下降的情况

使用正则表达式时-可能会导致性能下降的情况

目录 前言 正则表达式引擎 NFA自动机的回溯 解决方案 前言 正则表达式是一个用正则符号写出的公式&#xff0c;程序对这个公式进行语法分析&#xff0c;建立一个语法分析树&#xff0c;再根据这个分析树结合正则表达式的引擎生成执行程序(这个执行程序我们把它称作状态机&a…
阅读更多...
最新文章

Copyright @ 2022~2023