首页 > 其他分享 >挖矿事件

挖矿事件

时间:2022-12-22 12:11:22浏览次数:31  
标签:文件 查看 排查 pid etc 事件 挖矿

挖矿的类型

  1. 主动挖矿:用户在个人电脑或服务器使用挖矿程序进行CPU,GPU计算,获取虚拟货币。
  2. 被动挖矿:挖矿病毒通过系统漏洞,恶意程序,弱口令等方式入侵服务器,设备感染挖矿病毒后会开始挖掘虚拟货币。
  3. 前端挖矿:JS挖矿,挖矿病毒嵌入到王爷的javascript中,用户访问网页时浏览器执行挖矿命令,现在比较少。不稳定,用户关闭浏览器挖矿程序可能就停止运行了。

常见挖矿事件的行为

  1. 访问恶意域名
  2. CPU GPU占用率高
  3. 端口扫描行为

挖矿的排查思路

总体思路就是:隔离被感染主机   进程确认和系统排查   清除挖矿木马  加固与防范

一:初步判断:是否遭受挖矿攻击,攻击时间,传播范围,网络环境等。

二:异常进程与文件:隔离被感染的主机后,就要确定挖矿的恶意进程及其关联的恶意样本,以便后续进行清楚工作。

三:系统排查:挖矿木马会创建恶意的进程连接矿池,利用计算机CPU,GPU资源来挖矿。同时会利用系统的功能来实现持久化,例如创建用户,计划任务,启动项,注册表等。

四:日志排查:登录日志,服务器日志,安全设备日志,做一下根因分析,避免加固后再次出现同类问题。

 

具体的排查操作

  • 异常进程与文件
  1. 使用top 命令查看占用CPU最高的进程

      2.ps命令也可以定位高CPU占用的进程。

  ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5    cpu占用前5的信息

  •  网络连接排查 netstart

netstart -anltp  查看到可疑ip可以到威胁情报上去确认是否为矿池域名或恶意地址

  • 查看可疑的进程文件

经过上面排查,基本获取到进程的pid,可以依据pid去查找相关恶意文件

lsof -p pid

ls -al /proc/[pid]/exe   定位程序的实际路径

  •  结束进程清除文件

kill -9 pid

  • rm 删除可疑的程序文件

rm -rf 文件路径

  • 有些时候无法通过上述排查定位pid,可能是将/proc/pid进行了隐藏,可以通过以下方式隐藏

mkdir .hidden

mount -o bind .hidden /proc/pid

这种情况可以使用  cat /proc/$$/mountinfo

 

恶意程序为了持久化驻留,还会创建计划任务 ,启动项,用户账号等

计划任务排查

1.使用计划任务命令查询   crontab -u root -l 查看root用户计划任务

2.查看/etc下计划任务文件

ls /etc/cron*  查看/etc目录下所有计划任务文件

常见的定时任务文件

/var/spool/cron/*    #centos的

/var/spool/cron/crontabs/*    #ubantu的

/etc/anacrontab*   异步定时

/etc/cron.hourly/*

/etc/cron.daily/*

/etc/cron.weekly/*

/etc/cron.monthly/*

  • 启动项排查

chkconfig    查看开机启动项目

cat /etc/init.d/rc.loacal  查看init.d文件夹下的rc.local文件内容

cat /etc/rc.local    查看rc.local文件内容

ls -alt /etc/init.d  查看init.d文件夹下所有文件的详细信息

不同的linux发行版查看开机启动项的文件不大相同,Debian系linux一般查看/etc/init.d目录最近有无修改和异常的开机启动项;Redhat系一般查看/etc/rc.d/init.d或者/etc/syetemd/syetem等目录。

  • 可疑账号排查

查找可登录账号:  cat /etc/passwd | grep -E "/bin/bash$" | awk -F: '{print $1}'

查找超级用户:  awk -F: '$3==0 {print $1}' /etc/passwd

查找公钥文件

  cat /root/.ssh/*.pub

  cat /root/.ssh/authorized_keys

  • 日志排查

登录成功  more /var/log/secure* | grep "Accepted password"

登录失败 more /var/log/secure* | grep "Failed password"

空口令登录  more /var/log/secure* | grep "Accepted none"

新增用户  more /var/log/secure* | grep "new user"

历史命令   history        cat /root/./bash_history

系统日志排查无果的话,可以排查其他服务的日志,如web 中间件等

  • Linux的库文件劫持

  排查时命令如果无法正常显示效果,可能是文件被劫持或做了替换,这种情况可以使用busybox来查看

 

标签:文件,查看,排查,pid,etc,事件,挖矿
From: https://www.cnblogs.com/beikenxiong/p/16997373.html

相关文章

  • Windows安全事件ID清单
    ID desc1100 事件记录服务已关闭1101 审计事件已被运输中断。1102 审核日志已清除1104 安全日志现已满1105 事件日志自动备份1108 事件日志记录服务遇到错误4608 Wi......
  • DDD事件风暴 - 产品愿景阶段
    这是DDD事件风暴的第一个阶段,是对产品顶层价值的设计,使产品目标用户、核心价值、差异化竞争点等信息达成一致,避免产品偏离方向。我们可以用“电梯演讲”这个工具来帮我们......
  • DDD的事件风暴
    事件⻛暴(EventStorming)是一种“自底向上”的设计方法,先关注具体的业务细节,然后通过归纳、聚合、抽象的方法获得整体层面的认知和设计。事件⻛暴的发明⼈是AlbertoBra......
  • 请求失败或服务未及时响应。有关详细信息,请参见事件日志或其他适用的错误日志。
    原文链接:https://blog.csdn.net/qq_32152803/article/details/80256503请求失败或服务未及时响应。有关详细信息,请参见事件日志或其他适用的错误日志。  第一步:怎......
  • SE的事件机制--选择事件响应
    SE采用事件方式与外部程序交互,例如:根据选择的对象,自动显示属性信息等相应的处理;...  _documentEvents=(SolidEdgeFramework.ISEDocumentEvents_Event)document.Docum......
  • [vue] 解决keyup事件和blur重复调用,触发不同方法
    解决vue中keyup事件和blur重复调用在keyup触发的事件中解绑失焦函数,在获得焦点focus事件中绑定失焦函数。<template><el-inputv-model="inputVal"placeholder="......
  • 阴谋还是悲剧?- 基于机器学习假设检验视角,看泰坦尼克号事件
    阴谋还是悲剧?-基于机器学习假设检验视角,看泰坦尼克号事件1.引言0x1:故事背景泰坦尼克号(RMSTitanic),又译作铁达尼号,是英国白星航运公司下辖的一艘奥......
  • 本年度软件供应链攻击事件回顾
    软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了2022年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 盘点2022......
  • 事件循环机制(面试快速解题技巧)
    目录事件循环机制同步与异步微任务与宏任务(异步事件)任务执行顺序最终总结事件循环机制同步与异步我们先思考两个问题,如下:为什么会存在同步和异步的概念?我们的JavaScri......
  • 事件委托原理及应用(必学知识点总结)
    目录事件委托与事件对象事件冒泡与事件捕获添加事件处理的方法DOM2Events事件流事件对象常用属性和方法事件委托的应用(实现hover悬停变色效果)事件委托与事件对象事件冒......