免责声明本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停止本文章读。目录01前言02基于流量的检测03基于主机层的检测04排查清

本来今天高高兴兴，期待着明天的疯狂星期四，但客户那边突然有一台主机需要应急，那就上去看一眼。1、事件背景这次设备上有报警，发现是挖矿木马，并且也捕捉到了外联IOC，那这问题就不大了，直接上机开搞！恶意IOC：217.160.36.1592、上机处置首先对这台主机的外联情况查看一下，使用netsta

1，编写sh脚本：rm_wk.sh#!/bin/bashPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/binexportPATHkill-9$(ps-ef|grepkdevtmpfsi|grep-vgrep|awk'{print$2}')kill-9$(ps-ef|grepkinsing|grep-vgrep|awk'{pri

一、基础知识1.SQL注入：一种攻击手段，通过在数据库查询中注入恶意SQL代码，获取、篡改或删除数据库数据。（1）危害：数据库增删改查、敏感数据窃取、提权/写入shell。（2）类型：按注入点（字符型、数字型、搜索型）、提交方式（get、post、cookie）、执行效果（联合、报错、布尔、时间）分类。（3）注

一、什么是挖矿木马？比特币是以区块链技术为基础的虚拟加密货币，比特币具有匿名性和难以追踪的特点，经过十余年的发展，已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后，会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价，比特币的获得需要高

题目描述前景需要：小李在值守的过程中，发现有[CPU](https://so.csdn.net/so/search?q=CPU&spm=1001.2101.3001.7020)占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻

矿病毒流量特征分析1.如何判断服务器感染了挖矿病毒1.1查看服务器cpu运行状态top命令是Linux下常用的性能分析工具，能够实时显示系统中各个进程的资源占用状况，类似于Windows的任务管理器。  ps命令 ps–aux|sort–rn–k+3|headfree命令 2. 查看网络流量，观

1.功能说明：对上一篇的基础上进行了稍稍改造主要修改点：搜索功能:在搜索框后面增加了搜索按钮。搜索按钮调用performSearch函数来执行搜索操作。表单形式的功能:上传文件:修改为表单形式，允许用户通过文件输入控件选择文件并上传。发布朋友圈:修改为表单形式，允许用户

添加允许WAF访问443端口firewall-cmd--permanent--add-rich-rule='rulefamily="ipv4"sourceaddress="《WAF地址》"portprotocol="tcp"port="443"accept'添加拒绝所有ip访问443端口firewall-cmd--permanent--add-rich-rule='ru

在做触摸屏项目的时候，各种控件都需要实现监听/触发点击事件，通常是通过信号/槽、事件过滤器(eventFilter)、重写mousePressEvent。发现在QSpinBox中点击编辑框时不会触发任何鼠标相关点击事件。 查资料发现通过重写nativeEvent函数可以拿到鼠标相关事件，不过有一个坑需要注意，需要

文章目录解释器编写规则变量环境变量永久变量已经预设定好的变量脚本标量条件测试文件测试字符串测试命令执行测试控制语句if判断语句case判断语句for循环语句while循环语句until循环语句函数shell脚本之间相互调用与重定向相互调用函数调用参数传递重定向输出重定

特征有大量的switch跳转视图使用ctrlshiftD打开d810选择ollvm变干净了许多

症状表现服务器CPU资源使用一直处于100%的状态，通过top命令查看，发现可疑进程kdevtmpfsi。通过百度搜索，发现这是挖矿病毒。排查方法首先：查看kdevtmpfsi进程，使用ps-ef|grepkdevtmpfsi命令查看，见下图。PS：通过ps-ef命令查出kdevtmpfsi进程号，直接kill-9进

参考：https://blog.csdn.net/administratorlws/article/details/139995863有机会会再做一次。一些想法：黑客利用web服务入侵成功站点后，一般除了留下web木马外，还会留有系统后门和病毒比如可能的挖矿病毒。检查web渗透入口的木马，三个方式，第一个是直接从日志里面硬找，从上传的文件

1.检查自启动项执行systemctllist-unit-files--type=service|grepenabled命令列出全部自启动项，有异常启动项执行systemctldisableA_li_yun_Duns.service删除。A_li_yun_Duns.service为自启动项名称。2.检查系统用户执行vi/etc/passwd检查系统用户，如有异常用户将其禁用，

对于大多数挖矿病毒,有以下几个主要因素:漏洞利用：许多挖矿病毒利用操作系统或应用程序的已知漏洞来入侵系统。如果用户没有及时安装安全更新和补丁，这些漏洞就会暴露出来，为挖矿病毒提供了入侵的机会。社会工程和钓鱼攻击：挖矿病毒可能会通过钓鱼邮件、恶意链接或下载的文件等

在虚拟机中执行explorer.exe后,它会在/Windows/Fonts/目录中释放恶意文件，包括主加密挖掘程序文件、包含启动挖掘过程的恶意命令的批处理文件以及两个注册表文件，其注册表子项和值稍后将被插入到系统注册表使用regedit.exe。释放的恶意文件包括:svchost.exe1.batserver.reg

挖矿病毒与黑产之间存在密切的关联。黑产是指非法的、以盈利为目的的互联网犯罪活动，而挖矿病毒通常是黑产活动的一部分。通常挖矿病毒与以下几个黑产活动有关:加密货币盈利：挖矿病毒的主要目的是利用受感染的计算机资源来挖取加密货币，如比特币、以太坊等。这些加密货币可以用于非

挖矿病毒是一种恶意软件，它会感染计算机系统，并利用系统资源（如CPU或GPU）来进行加密货币挖矿，而不经用户许可。这种病毒会使计算机变得缓慢，并可能导致系统崩溃或其他问题。挖矿病毒通常会隐藏在下载的文件、恶意链接或被感染的软件中，并在用户不知情的情况下运行。一旦感染了计算机系

挖矿病毒防御必须要结合规章制度和技术双结合的方式来进行,具体包括:安全意识培训:必须定期进行安全意识培训,否则再好的安全产品也是白搭。安全软件和防病毒软件：使用更新的安全软件和防病毒软件可以帮助检测和清除挖矿病毒。确保安全软件的病毒库和特征库处于最新状态，以提高

比特币:一种电子货币基于密码学于2008年左右被中本聪所创建推行人民对银行等金融机构失去信心政府不再可信中本聪认为不需要一个集中化中心化的记账系统比特币的创建是为了创建一个去中心化的交易系统简单的说比特币是想要创建一个不被单一机构或人员约束的记账系统该

1症状CPU一半核心满载，断网负载消失，联网负载出现，htop、top、ps等无法查找到占用cpu进程。clamav慢扫全盘无结果。使用netstat-anptu找到一个德国ipProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programnametcp0294

背景今天在做项目的时候，总感觉运行不是很流畅，难道本地服务器也有网络问题？一通操作下来，不出意外，没解决。说来也巧，无意间的一瞥，竟让我发现了问题所在——CPU满了。这就很不正常了，也没运行什么东西呀，不可能就这么满了。于是我就开始上网搜索，这是什么原因导致的（这就是没完成工作任务