專殺挖礦病毒cmd
㈠ 記一次解決挖礦病毒的過程(sysupdate、networkservice)
我也是有一段時間伺服器變的很卡,那時我還以為是我自己的軟體裝太多導致的問題,不看不知道,看了嚇一跳,伺服器已經被攻擊了,接下來,我來分享下如何查找和解決這個病毒。
當發現伺服器卡的時候,我們可以採用top命令,如下顯示
我們注意看以上這幾個進程,沒稍加註意的話,我們還以為這幾個是正常的進程,為啥呢?
1、畢竟這幾個的user是apache、www、nobody,因為我的web站點,文件目錄是www目錄,所以這個地方很容易被誤認為就是我們的站點目錄,而且apache本來是web服務,它取成了這個名詞,也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate,名稱很像我們的系統進程,
3、每個進程的cpu佔用都比較小,平均差不多20%個cpu,可是這么多進程加起來,CPU佔用就爆炸了,將近100%了
從上面這個地方可以發現這個攻擊者很聰明,懂得用這種名稱來混淆我們的視野
從上面的top命令知道了這幾個佔用比較大的進程號,我們可以根據其中的某個進程,比如7081入手,來查找其他關聯的進程,使用以下命令,如下圖所示
進入到/etc目錄下,
我們可以看到有sysupdate、networkservice、sysguard三個文件,這三個文件都是二進制文件,這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件,這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢,其實是通過定時程序裡面的cron找出來的。
再進入到 /var/spool/cron看下定時程序
如下圖所示
可以看到這幾個文件名稱,和剛剛佔用cpu高的進程user,名稱是一樣的
這樣就可以確認的確是病毒攻擊了伺服器
1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中,刪除其中的定時腳本。
也要記得刪除定時任務,crontab -e,刪除其中的腳本
2、殺掉進程,並刪除文件
以下這幾張圖片的進程id,分別進行kill殺掉
然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候,你可能會發現無法刪除,因為病毒使用了chattr +i 命令,使用如下命令即可刪除
每個無法刪除的文件,都執行如上命令,即可實現刪除文件
3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸,攻擊者可以隨便登陸你的伺服器,你這里要把秘鑰也修改下
經過這些處理後,可以發現我們的伺服器已經不再卡了,如下,沒有佔用高的程序了
轉自: https://www.jianshu.com/p/b99378f0cf8f
㈡ 伺服器上如何清除NrsMiner挖礦病毒
挖礦病毒完整清除過程如下,請在斷網情況下進行:
1.停止並禁用Hyper-VAccess Protection Agent Service服務;
2.刪除C:Windowssystem32NrsDataCache.tlb;
3.刪除C:.dll,若刪除失敗,可重命名該文件為其他名稱;
4.重啟計算機;
5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄;
6.刪除C:Windowssystem32SecUpdateHost.exe。
7.到微軟官方網站下載對應操作系統補丁,下載鏈接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安裝國內主流殺毒軟體,及時更新至最新病毒特徵庫。
㈢ WannaMine挖礦木馬手工處理
關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。
WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。
WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。
WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。
下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。
WannaMine2.0版本
該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。
WannaMine3.0版本
該版本釋放文件參考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需刪除主服務snmpstorsrv與UPnPHostServices計劃任務
WannaMine4.0版本
該版本釋放文件參考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>
關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。
注冊表下排查可疑的計劃任務
HKEY_LOCAL_
發現可疑項可至tasks下查看對應ID的Actions值
HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]
計劃任務文件物理目錄
C:
新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。
注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]
㈣ 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)
㈤ 挖礦病毒怎麼處理
挖礦病毒處理步驟如下:
1、查看伺服器進程運行狀態查看伺服器系統整體運行情況,發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。
2、查看埠及外聯情況查看埠開放狀態及外聯情況,發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址,進一步確定該進程為惡意挖礦進程:定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。
6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。
7、查找敏感文件發現authorized_keys文件。
8、查看ssh日誌文件查看ssh日誌文件,發現大量登陸痕跡以及公鑰上傳痕跡。