专杀挖矿病毒cmd
㈠ 记一次解决挖矿病毒的过程(sysupdate、networkservice)
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。
当发现服务器卡的时候,我们可以采用top命令,如下显示
我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢?
1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程,
3、每个进程的cpu占用都比较小,平均差不多20%个cpu,可是这么多进程加起来,CPU占用就爆炸了,将近100%了
从上面这个地方可以发现这个攻击者很聪明,懂得用这种名称来混淆我们的视野
从上面的top命令知道了这几个占用比较大的进程号,我们可以根据其中的某个进程,比如7081入手,来查找其他关联的进程,使用以下命令,如下图所示
进入到/etc目录下,
我们可以看到有sysupdate、networkservice、sysguard三个文件,这三个文件都是二进制文件,这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件,这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢,其实是通过定时程序里面的cron找出来的。
再进入到 /var/spool/cron看下定时程序
如下图所示
可以看到这几个文件名称,和刚刚占用cpu高的进程user,名称是一样的
这样就可以确认的确是病毒攻击了服务器
1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中,删除其中的定时脚本。
也要记得删除定时任务,crontab -e,删除其中的脚本
2、杀掉进程,并删除文件
以下这几张图片的进程id,分别进行kill杀掉
然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候,你可能会发现无法删除,因为病毒使用了chattr +i 命令,使用如下命令即可删除
每个无法删除的文件,都执行如上命令,即可实现删除文件
3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆,攻击者可以随便登陆你的服务器,你这里要把秘钥也修改下
经过这些处理后,可以发现我们的服务器已经不再卡了,如下,没有占用高的程序了
转自: https://www.jianshu.com/p/b99378f0cf8f
㈡ 服务器上如何清除NrsMiner挖矿病毒
挖矿病毒完整清除过程如下,请在断网情况下进行:
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:Windowssystem32NrsDataCache.tlb;
3.删除C:.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;
6.删除C:Windowssystem32SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
㈢ WannaMine挖矿木马手工处理
关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。
WannaMine2.0版本
该版本释放文件参考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。
WannaMine3.0版本
该版本释放文件参考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]
计划任务文件物理目录
C:
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]
㈣ 电脑中了挖矿病毒
方法/步骤
首先,如果是菜鸟写出的病毒,大家可以太任务管理器中,找到该文件路径,直接终结进程树,或直接找到路径删除即可。
2/6
第二,如果对方技术够本,我们很难终结进程,那么,我们可以下载一个电脑管家,现在的电脑管家也增大了挖矿病毒的扫描率,如果查找到直接清理即可。
3/6
第三,如果电脑管家也无法搞定那么,我们可以avast查杀,这个程序在杀毒方面,简直是第一,对于挖矿病毒来说,更是犹如利剑。
4/6
第四,如果使用avast之后,我们还怀疑电脑有挖矿病毒的话,我们先打开进程手动把文档路径放到隔离区。
5/6
第五,在放到隔离区之后,我们使用avast的放松以供分析,然后发给avast的工作员工,备注怀疑是挖矿病毒,对方给我们人工分析,如果是,对方也会帮我们删除。
6/6
第六,如果在专业坚定之后,我们还有所怀疑的话,如果不是大牛,那么,大舅就需要重装电脑了,毕竟,一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)
㈤ 挖矿病毒怎么处理
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。