admin管理员组

文章数量:1592046

什么是挖矿木马

挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。

目录:

什么是挖矿木马

挖矿木马的危害:

挖矿木马-实战(排查)

(1)事件概述.

(2)确认攻击的范围.(有多少主机被攻击了)

消除木马:

(1)查看 CPU 的运行情况,是否存在挖矿木马.

(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)

(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)

(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)

(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)

(6)排查 定时任务.

(7)如果还有,可以排查开机启动项.

日志分析:(随便排查出系统存在的其他隐患)

(1)排查 是否存在后门.(Web网站)

(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.

(3)排查完进行删除所以木马文件.

日志存在:

日志不存在:

漏洞修复:

(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.

(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.

(3)定期给主机打补丁.

挖矿木马的危害:

▶ 影响计算机性能:挖矿木马会占用大量的CPU资源,导致电脑运行缓慢,甚至出现卡顿现象 。
▶ 浪费资源:挖矿过程中会消耗大量的电力,加快硬件老化速度 。
▶ 安全风险:挖矿木马可能会使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失。

挖矿木马-实战(排查)

(1)事件概述.

接到某司客户应急响应请求:客户服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直跑满的】

了解现状了解发病时间了解系统结构了解网络结构
主机一直卡,CPU一直跑满05:51Linux 系统 系统.外网 / 内网
主机一直卡,CPU一直跑满06:30Linux 系统 系统.内网
主机一直卡,CPU一直跑满06:57Linux 系统 系统.内网

(2)确认攻击的范围.(有多少主机被攻击了)

 到客户现场发现有服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直满的】

主机名IP感染的情况传播手段
服务器192.168.1.106CPU一直跑满利用其他主机漏洞进行横向渗透.
终端PC1192.168.1.109CPU一直跑满利用其他主机漏洞进行横向渗透.
终端PC1192.168.1.120CPU一直跑满利用其他主机漏洞进行横向渗透.

消除木马:

(1)查看 CPU 的运行情况,是否存在挖矿木马.

top                # 查看 CPU 的运行情况.

(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)

find / -name xmrig        # 文件名在 CPU 运行满的最后面.

find / -name 文件名

(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)

 上传 样本 进行分析,也可以根据里面的 域名 或者 IP地址 进行分析.

https://x.threatbook/                # 微步在线
 
https://www.virustotal/gui/          # VirusTotal(上传文件,检查木马)
 
https://ti.360/#/homepage            # 360威胁平台
 
https://ti.nsfocus/                  # 绿盟威胁情报平台
 
https://ti.dbappsecurity/         # 安恒威胁情报平台

怎么 分析IP 地址呢!(可以查看网络连接找到IP地址的.)

其他所以排查方法:

(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)

kill 5157            # 关闭这个进程.

kill 进程数

(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)

(6)排查 定时任务.

定时定点执行Linux程序或脚本.

crontab -e            # 用来创建定时任务.

crontab -l            # 查看有多少个任务.

定时保存的路径有以下几个.

vi /var/spool/cron/        # 目录里的任务以用户命名.

vi /etc/crontab             # 调度管理维护任务.(排查里面有没有新的添加)

vi /etc/cron.d/    # 这个目录用来存放任何要执行的crontab文件或脚本

(排查有没有新的添加文件 再和运维核对 进行排查)

vi /etc/cron.hourly            # 每小时执行一次

vi /etc/cron.daily             # 每天执行一次

vi /etc/cron.weekly            # 每周执行一次

vi /etc/cron.monthly           # 每月执行一次

(7)如果还有,可以排查开机启动项.

其他所以排查方法:应急响应:Linux 入侵排查思路.

日志分析:(随便排查出系统存在的其他隐患)

先 Web 的日志(看看是不是上传了木马),系统的日志.(看看是不是被爆破了)

(1)排查 是否存在后门.(Web网站)

使用河马的扫描工具(扫描后门木马)

chmod +x hm        # 添加权限
./hm scan /var/www/html

./hm scan 指定的扫描路径.


(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.

(3)排查完进行删除所以木马文件.

日志存在:

(1)确定攻击时间.

就是后门的上传时间,在日志中找这个后门木马的文件名.(比如上面的:.bgxg.php)

(2)确定攻击特征.

文件上传.

(3)确定特征文件.

就是后门木马文件.

(4)确定攻击者IP

(5)攻击复现.

在日志中 找到木马的路径,进行测试就行.

日志不存在:

(1)黑盒测试.(对 Web 网站进行渗透测试.)
(2)查看系统服务是否存在弱口令(Redis,ssh等)

漏洞修复:

(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.

(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.

(3)定期给主机打补丁.

  

   

   

学习链接:第164天:应急响应-挖矿脚本检测指南

本文标签: 木马实战挖矿案例系统

版权声明:本文标题:应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728124926a1146284.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。