挖礦蠕蟲源頭

Ⅰ 比特幣病毒到底是什麼

昨天抽風去了電子閱覽室，剛插上U盤沒多久，老師就突然大聲說讓大家把U盤拔下來，有學生發現U盤里的文件全部都打不開了，還多了兩個要錢的文件。

於是大家都匆忙查看，只要U盤在學校電腦上插過的都中毒了，晚上出現大規模電腦中毒情況。

很多人的資料、畢業論文都在電腦中，真的覺得黑客這種行為太惡心了，為了錢，不管不顧學生的前途，老師畢生的科研成果……

希望盡早抓到犯罪分子，給予法律的嚴懲！

這個病毒會掃描開放 445 文件共享埠的 Windows 設備，只要用戶的設備處於開機上網狀態，黑客就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。

一些安全研究人員指出，這次大規模的網路襲擊似乎是通過一個蠕蟲病毒應用部署的，WannaCry 可以在計算機之間傳播。更為可怕的是，與大部分惡意程序不同，這個程序可以自行在網路中進行復制傳播，而當前的大多數病毒還需要依靠中招的用戶來傳播，方法則是通過欺騙他們點擊附有攻擊代碼的附件。

這次襲擊已經使得 99 個國家和多達 75,000 台電腦受到影響，但由於這種病毒使用匿名網路和比特幣匿名交易獲取贖金，想要追蹤和定位病毒的始作俑者相當困難。

Ⅱ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

Ⅲ 比WannaCry還厲害的Adylkuzz挖礦僵屍網路是怎麼被發現的

安全5月19日訊 5月12日，攻擊者利用「永恆之藍」（EternalBlue）在全球范圍內發起大規模勒索軟體攻擊。「影子經紀人」（Shadow Brokers）4月14日泄露的NSA黑客工具就包括「永恆之藍」（EternalBlue），這款工具利用TCP 445埠SMB的漏洞發現網路中易受攻擊的計算機，並橫向擴散攻擊者選擇的惡意有效載荷。
你想成為黑客嗎？就來符靈壇，這里教你成為入門級黑客
但是，Proofpoint公司的研究人員還發現另一起規模巨大的攻擊，其利用EternalBlue和後門DoublePulsar安裝加密貨幣挖礦軟體Adylkuzz。初步數據統計表明，這起攻擊的規模可能比「WannaCry」還大，影響了全球幾十萬台PC和伺服器，因為這起攻擊關閉SMB網路，通過同樣的漏洞阻止其他惡意軟體（包括WannaCry蠕蟲）感染，而這起攻擊對上周五報道的WannaCry感染起到一定限製作用。
Adylkuzz攻擊的徵兆包括：共享Windows資源訪問權丟失，PC和伺服器的性能受到影響。

Ⅳ 僵屍病毒和挖礦病毒的區別

僵屍病毒，BlueHero是一種會自動傳染的蠕蟲病毒，它像WannaCry一樣從一台機器自動傳染到另一台機器，從一個內網感染到另一個內網。基於傳播方法的特點，遭受感染的大多是網站伺服器以及其所在內網。
挖礦病毒由騰訊御見威脅情報最早報告。近一年來病毒頻繁升級，不斷增加攻擊手法和躲避安全查殺
DDG挖礦病毒(國外稱其為Linux.Lady)是一款在Linux系統下運行的惡意挖礦病毒，前期其主要通過ssh爆破，redis未授權訪問漏洞等方式進行傳播，近年來其更新非常頻繁，已經出現多個版本，本次捕獲到的是4004版本