挖矿病毒如何运作
① 为什么黑客们要广设服务器,用别人的手机设备去挖矿
因为用别人的手机会更加安全一点,这样公安局或者安全局就不容易找到黑客的地址了。
“偷矿”是指未经你同意的情况下,黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 JavaScript 代码,黑客在代码中注入“偷矿”程序,当你访问这些代码时,“偷矿”程序便会偷偷自动运行。
虽然 Chrome 是最常用的浏览器,但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告,此外,它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本,这与网页上的广告拦截技术并没有太大区别。
2.使用清理程序
如果采用了上面的措施之后你仍然放心不下,那么可以在电脑和智能手机上安装 Malwarebytes 清理程序,它的电脑版是完全免费的,但是针对手机的高级版是收费的。随着现在越来越多的区块链项目开始采用手机挖矿,如果你不想让自己的手机有被当作肉鸡的风险,适当花点小钱也是值得的。
你仍然可以继续使用像卡巴斯基这样的防病毒软件来保护自己的智能手机。
② 挖矿木马的传播途径是什么
挖矿木马是依赖漏洞、外挂程序、网页挂马、弱口令等途径进行传播的,腾讯电脑管家的2017年网络安全报告有说这个问题。
③ 挖矿木马是什么
就是你电脑后台自行消耗显卡与CPU资源的木马病毒,这种木马是看你电脑配置很高,后台自行挖矿,你一般看不出来,但是你显卡或CPU占用很高的。
④ WannaMine挖矿木马手工处理
关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。
WannaMine2.0版本
该版本释放文件参考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。
WannaMine3.0版本
该版本释放文件参考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]
计划任务文件物理目录
C:
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]
⑤ 挖矿病毒
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。
说说挖矿病毒的几个特点:
一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。
二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。
三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。
四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。
挖矿病毒的防御
挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。
对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。
⑥ 电脑中了挖矿病毒
方法/步骤
首先,如果是菜鸟写出的病毒,大家可以太任务管理器中,找到该文件路径,直接终结进程树,或直接找到路径删除即可。
2/6
第二,如果对方技术够本,我们很难终结进程,那么,我们可以下载一个电脑管家,现在的电脑管家也增大了挖矿病毒的扫描率,如果查找到直接清理即可。
3/6
第三,如果电脑管家也无法搞定那么,我们可以avast查杀,这个程序在杀毒方面,简直是第一,对于挖矿病毒来说,更是犹如利剑。
4/6
第四,如果使用avast之后,我们还怀疑电脑有挖矿病毒的话,我们先打开进程手动把文档路径放到隔离区。
5/6
第五,在放到隔离区之后,我们使用avast的放松以供分析,然后发给avast的工作员工,备注怀疑是挖矿病毒,对方给我们人工分析,如果是,对方也会帮我们删除。
6/6
第六,如果在专业坚定之后,我们还有所怀疑的话,如果不是大牛,那么,大舅就需要重装电脑了,毕竟,一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)
⑦ 记一次解决挖矿病毒的过程(sysupdate、networkservice)
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。
当发现服务器卡的时候,我们可以采用top命令,如下显示
我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢?
1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程,
3、每个进程的cpu占用都比较小,平均差不多20%个cpu,可是这么多进程加起来,CPU占用就爆炸了,将近100%了
从上面这个地方可以发现这个攻击者很聪明,懂得用这种名称来混淆我们的视野
从上面的top命令知道了这几个占用比较大的进程号,我们可以根据其中的某个进程,比如7081入手,来查找其他关联的进程,使用以下命令,如下图所示
进入到/etc目录下,
我们可以看到有sysupdate、networkservice、sysguard三个文件,这三个文件都是二进制文件,这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件,这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢,其实是通过定时程序里面的cron找出来的。
再进入到 /var/spool/cron看下定时程序
如下图所示
可以看到这几个文件名称,和刚刚占用cpu高的进程user,名称是一样的
这样就可以确认的确是病毒攻击了服务器
1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中,删除其中的定时脚本。
也要记得删除定时任务,crontab -e,删除其中的脚本
2、杀掉进程,并删除文件
以下这几张图片的进程id,分别进行kill杀掉
然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候,你可能会发现无法删除,因为病毒使用了chattr +i 命令,使用如下命令即可删除
每个无法删除的文件,都执行如上命令,即可实现删除文件
3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆,攻击者可以随便登陆你的服务器,你这里要把秘钥也修改下
经过这些处理后,可以发现我们的服务器已经不再卡了,如下,没有占用高的程序了
转自: https://www.jianshu.com/p/b99378f0cf8f
⑧ 解决挖矿病毒的经历
线上一台服务器,CPU高达90%以上,经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果,很快就会自动恢复
排查步骤:
结果:
病毒被植入到了线上运行的某一docker容器内。
如何先确定是哪一容器再去删除搜索结果中的病毒文件?
我这台机器跑的容器不多,可以用复制文件的方法,先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以确定容器了。结果是php的容器出现了问题。
知道是具体是什么容器出现了问题,最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器,所以先启动了一个新php容器,修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。(nginx容器已经映射目录到宿主机)
修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录
测试线上环境正常后,删除原来的php容器。(这是自然也==直接删除了病毒文件)
执行 TOP命令,CPU占用正常。
平时防火墙和sellinux都关闭的话,服务器不要暴漏太多无用端口,出现问题应该最新通过进程名去查找文件的原始位置去分析问题,遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本
⑨ 什么是挖矿木马
就是会让你电脑自动挖矿的病毒
杀毒软件直接杀毒不就得了么
安装个电脑管家到电脑上
然后使用病毒查杀,对着你的电脑杀毒就行了