应急响应-挖矿病毒处理

应急响应-挖矿病毒处理

使用top​命令实时监控占用CPU资源的是哪个进程,结果可以看到是2725这个进程。

image

再使用netstat -anltp命令查看网络连接状态,定位到对应的PID号后,就拿到了远程地址

image

拿到远程IP,结果是VPN入口不是矿池。但也可以知道这个远程地址吧就不是好玩意。

image

再去到/proc目录里面,找到对应PID号的文件夹;这个文件夹包含系统中运行进程的信息

执行 ls -l exe​这个命令可以查看这个进程的执行路径,这将显示指向进程可执行文件的符号链接。就可以知道这个恶意的程序在系统中的位置。

image

再通过ps -ajxf​命令看一下这个恶意程序有没有创建其它子线程;结果是并没有其它关联的进程或线程了

image

没有发现其它进程了那就可以直接​ kill -9 2725​杀掉进程即可。

如果发现了其它进程就需要​ kill -9 -2725​;在这个进程号前面加上**-号**,会直接杀掉整个进程组(这种方式会发送信号给进程组中的所有进程,不需要特别指定父进程号或者特定的子进程号)

image杀掉之后,需要监控一下,程序是否会再自动运行起来,这里并没有。

如果这个文件有a和i属性会导致文件不可修改也不可删除
chattr -a filename

chattr -i filename

把文件的这两个属性去除掉即可

如果文件乱码无法通过文件名来删除文件,则可以通过文件i节点号删除即可

ls -il ​​ :获取文件的i节点号
find ./ -inum ​​**i节点号值**​​ -exec rm -f {} \;​ 不需确定直接删除指定i节点号对应的文件

​​

挖矿病毒一般会加入启动项或者定时任务里面,都需要排查。

而且定时任务和启动项也可能会因为某个程序而自动创建,导致你删了定时任务后又会出现定时任务这种删不干净的情况。

所以如果条件允许的话在清除掉相关定时任务和启动项后重启一下服务器或许可以解决这种情况,不允许重启系统就需要搞清楚到底是哪个脚本在自动创建定时任务,删除它。

定时任务的查看:

  1. 使用crontab -l 命令查看当前用户的定时任务列表。

  2. 对于root用户,你可以使用crontab -l -u username​来查看其他用户的定时任务。

  3. 查看cron.daily、cron.weekly等目录:定时任务可能还被配置在/etc/cron.daily/​、/etc/cron.weekly/​等目录中。这些目录包含了系统每日、每周定时执行的任务。

    1.  ls /etc/cron.daily/ls /etc/cron.weekly/ls /etc/crontabls /etc/cron.d/cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}  # 查看所有用户的定时任务#定时任务的配置文件也会存储在/var/spool/cron/目录中。每个用户的定时任务可以在对应的用户目录下找到。ls /var/spool/cron/cat /var/spool/cron/Your_username

发现跟挖矿程序相关的定时任务都清理掉,下面的自启动项也是同理

查看启动项:

systemctl list-unit-files ​

如果 systemctl list-unit-files 命令的输出中,某个单元文件的 STATE 列显示为 "enabled",那么说明该单元文件是启用的,意味着它会在系统启动时自动加载和运行。

启动脚本通常位于/etc/init.d/​或/etc/rc.d/​目录(或其子目录如/etc/rc.d/init.d/​)来存储启动脚本中。

在一些Linux系统中,特别是使用systemd的系统,启动项脚本可能被保存在/etc/systemd/system/​或/lib/systemd/system/

要确切确定系统的启动项脚本存储路径,最好查看系统的文档或查看特定发行版的惯例。不同的Linux发行版可能会有一些差异。

分析对方是从什么点拿到的服务器权限

把内部的恶意脚本都清理干净后,再去分析对方是如何拿到系统权限并上传的这些恶意文件。

那得先看看这台服务器上运行的都有什么服务

有web服务吗?有的话用漏扫工具扫一下看看会不会有什么点

如果是windows系统是不是开启了远程桌面导致被爆破口令拿到的权限

还是说有Redis未授权等一些其它情况导致的。都需要排查清除

如果是web服务,那很有可能对方留下了后门文件,后门查杀出来的话就在服务器的logs日志里查谁访问了这个后门文件也可以定位出来这个攻击者的远程地址

grep "恶意IP" "web服务器日志路径" > ./ret.txt

  1. 查看访问的URL和参数: 如果攻击者使用了特定的URL路径或参数来进行攻击,注意查看这些信息。
  2. 审查服务器配置文件: 检查你的Web服务器配置文件,确保没有配置错误或者不安全的设置。特别关注是否有不必要的模块启用、权限设置是否正确,以及是否有不安全的目录或文件权限。
  3. 更新和修复漏洞: 确保你的Web服务器和相关的应用程序都是最新版本,并修复已知的漏洞。攻击者可能利用已知的漏洞来入侵系统。
  4. 应用安全补丁: 如果你发现了特定漏洞,确保应用了相关的安全补丁。这包括操作系统、Web服务器、数据库以及你的应用程序本身。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/196702.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQL Sever 基础知识 - 数据筛选(2)

SQL Sever 基础知识 - 数据筛选(2)

SQL Sever 基础知识 - 四、数据筛选 第3节 NULL3.1 NULL 和三值逻辑3.2 IS NULL / IS NOT NULL 第4节 AND4.1 AND 运算符简介4.2 AND 运算符示例4.2.1 一个 AND 运算符4.2.2 多个 AND 运算符4.2.3 将 AND 运算符与其他逻辑运算符一起使用 第5节 OR5.1 OR 运算符简介5.2 OR 运算…
阅读更多...
Python高效编程:十招实用技巧大揭秘!

Python高效编程:十招实用技巧大揭秘!

更多资料获取 📚 个人网站:ipengtao.com 1. 代码优化与高效数据结构 Python中使用合适的数据结构对于代码性能至关重要。例如,使用字典(dict)快速查找元素: # 使用字典进行快速查找 sample_dict {a: 1,…
阅读更多...
Linux lshw命令(lshw指令)(List Hardware,获取底层硬件信息)(查询硬件信息)

Linux lshw命令(lshw指令)(List Hardware,获取底层硬件信息)(查询硬件信息)

文章目录 Linux lshw命令:一个全面的硬件信息查询工具介绍安装lshw使用lshwlshw的选项和参数lshw文档英文文档中文文档 命令示例lshw -c network -sanitize查看系统网络硬件信息,并移除敏感项(显示为REMOVED) lshw与其他命令的对比…
阅读更多...
创新零售巨头:揭开山姆与Costco蓬勃发展背后的秘密

创新零售巨头:揭开山姆与Costco蓬勃发展背后的秘密

会员制商店这个冷门的业态突然之间硝烟弥漫,更多的资本开始涌向付费会员商店这一业态,本文即将探讨的是付费会员制的成功秘诀和零售企业可行的发展路径。Costco的发展经验对国内超市巨头的崛起具有显著的借鉴意义,以优质低价商品服务为中心&a…
阅读更多...
.NET Core6.0 MVC+layui+SqlSugar 简单增删改查

.NET Core6.0 MVC+layui+SqlSugar 简单增删改查

HTML部分: {ViewData["Title"] "用户列表"; } <!DOCTYPE html> <html> <head><meta charset"utf-8"><title>用户列表</title><meta name"renderer" content"webkit"><meta …
阅读更多...
【网络奇缘】- 计算机网络|分层结构|深入探索TCP/IP模型|5层参考模型

【网络奇缘】- 计算机网络|分层结构|深入探索TCP/IP模型|5层参考模型

​ &#x1f308;个人主页: Aileen_0v0&#x1f525;系列专栏: 一见倾心,再见倾城 --- 计算机网络~&#x1f4ab;个人格言:"没有罗马,那就自己创造罗马~" 目录 OSI参考模型与TCP/IP参考模型相同点 OSI参考模型与TCP/IP参考模型不同点 面向连接三阶段&#xff08…
阅读更多...
(C语言)计算n的阶乘

(C语言)计算n的阶乘

要求使用双精度 #include<stdio.h> double factorial(int n) {if(n 1)return 1;return n * factorial(n-1); } int main() {int n ;double res;scanf("%d",&n);res factorial(n);printf("%lf",res); return 0; } 运行截图&#xff1a; 注&am…
阅读更多...
深入微服务架构 | 微服务与k8s架构解读

深入微服务架构 | 微服务与k8s架构解读

微服务项目架构解读 ① 什么是微服务&#xff1f; 微服务是指开发一个单个小型的但有业务功能的服务&#xff0c;每个服务都有自己的处理和轻量通讯机制&#xff0c;可以部署在单个或多个服务器上。 微服务也指一种种松耦合的、有一定的有界上下文的面向服务架构。也就是说&…
阅读更多...
react结合vant的Dialog实现签到弹框操作

react结合vant的Dialog实现签到弹框操作

1.需求 有时候在开发的时候&#xff0c;需要实现一个签到获取积分的功能&#xff0c;使用react怎么实现呢&#xff1f; 需求如下&#xff1a; 1.当点击“签到”按钮时&#xff0c;弹出签到框 2.展示签到信息&#xff1a; 签到天数&#xff0c; 对应天数签到能够获取的积分&…
阅读更多...
AI代码助手:写代码“如虎添翼”

AI代码助手:写代码“如虎添翼”

当你还在头疼如何写好代码&#xff0c;如何更好的快速完成项目时&#xff0c; 这些工具能自动为你编写代码或提供替代的解决方案&#xff1a; 1.Cursor Cursor&#xff0c;一个看上去平平无奇的IDE&#xff0c;但它可以直接调用GPT-4来帮你生成代码。作者Aman Sanger说他们是…
阅读更多...
两年外包生涯做完,技术退步了5年不止。。。。

两年外包生涯做完,技术退步了5年不止。。。。

先说一下自己的情况。大专生&#xff0c;17年通过校招进入湖南某软件公司&#xff0c;干了接近2年的点点点&#xff0c;今年年上旬&#xff0c;感觉自己不能够在这样下去了&#xff0c;长时间呆在一个舒适的环境会让一个人堕落&#xff01;而我已经在一个企业干了五年的功能测试…
阅读更多...
DistributionBalancedLoss

DistributionBalancedLoss

Distribution-Balanced Loss P I ( x k ) P^I(x^k) PI(xk) 1 C ∑ y i k 1 1 n i {1\over C}\sum\limits_{y_i^k1}{1\over{n_i}} C1​yik​1∑​ni​1​&#xff0c; P i C ( x k ) P^C_i(x^k) PiC​(xk) 1 C 1 n i {1\over C}{1\over{n_i}} C1​ni​1​ r i k _i^k ik​ P i …
阅读更多...
使用正则表达式时-可能会导致性能下降的情况

使用正则表达式时-可能会导致性能下降的情况

目录 前言 正则表达式引擎 NFA自动机的回溯 解决方案 前言 正则表达式是一个用正则符号写出的公式&#xff0c;程序对这个公式进行语法分析&#xff0c;建立一个语法分析树&#xff0c;再根据这个分析树结合正则表达式的引擎生成执行程序(这个执行程序我们把它称作状态机&a…
阅读更多...
初步认识结构体

初步认识结构体

hello&#xff0c;hello&#xff0c;各位小伙伴&#xff0c;本篇文章跟大家一起学习结构体&#xff0c;并跟大家一边做题一边进行学习和理解。感谢大家对我上一篇的支持&#xff0c;如有什么问题&#xff0c;还请多多指教&#xff01; 如果本篇文章对你有帮助&#xff0c;还请…
阅读更多...
贝叶斯网络 (人工智能期末复习)

贝叶斯网络 (人工智能期末复习)

文章目录 贝叶斯网络&#xff08;概率图模型&#xff09;定义主要考点例题- 要求画出贝叶斯网络图- 计算各节点的条件概率表- 计算概率- 分析独立性 贝叶斯网络&#xff08;概率图模型&#xff09; 定义 一种简单的用于表示变量之间条件独立性的有向无环图&#xff08;DAG&am…
阅读更多...
BGP基本配置

BGP基本配置

一、知识补充 1、BGP BGP是Border Gateway Protocol&#xff08;边界网关协议&#xff09;的缩写。它是用于在互联网中交换路由信息的一种协议。BGP被广泛应用于大规模的自治系统&#xff08;AS&#xff09;之间&#xff0c;用于实现跨网络的路由选择和交换。 BGP的主要功能…
阅读更多...
基于Cocos2D-X框架闯关游戏的设计

基于Cocos2D-X框架闯关游戏的设计

摘 要 随着智能设备平台的普及、用户数量的增多&#xff0c;智能平台的应用&#xff0c;尤其是游戏异常火爆&#xff0c;从植物大战僵尸到愤怒的小鸟&#xff0c;移动平台游戏的开发进入了新的阶段。但是另一方面&#xff0c;平台的多样性也给开发者带来诸多不便&#xff0c;怎…
阅读更多...
单片机第三季-第四课:STM32下载、MDK和调试器

单片机第三季-第四课:STM32下载、MDK和调试器

目录 1&#xff0c;扩展板使用的STM32芯片类型 2&#xff0c;使用普中科技软件下载程序 3&#xff0c;keil介绍 4&#xff0c;JLINK调试器介绍 5&#xff0c;使用普中的调试器进行debug 6&#xff0c;使用Simulator仿真 1&#xff0c;扩展板使用的STM32芯片类型 扩展版…
阅读更多...
什么是网络可视化?网络可视化工具有用吗

什么是网络可视化?网络可视化工具有用吗

网络可视化定义是自我描述的&#xff0c;因为它在单个屏幕上重新创建网络布局&#xff0c;以图形和图表的形式显示有关网络设备、网络指标和数据流的信息&#xff0c;为 IT 运营团队提供一目了然的理解和决策。 网络是复杂的实体&#xff0c;倾向于持续进化&#xff0c;随着业…
阅读更多...
【C++】异常处理 ⑧ ( 标准异常类 | 标准异常类继承结构 | 常用的标准异常类 | 自定义异常类继承 std::exception 基类 )

【C++】异常处理 ⑧ ( 标准异常类 | 标准异常类继承结构 | 常用的标准异常类 | 自定义异常类继承 std::exception 基类 )

文章目录 一、抛出 / 捕获 多个类型异常对象1、标准异常类2、标准异常类继承结构3、常用的标准异常类 二、自定义异常类继承 std::exception 基类1、自定义异常类继承 std::exception 基类2、完整代码示例 - 自定义异常类继承 std::exception 基类 一、抛出 / 捕获 多个类型异常…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023