当前位置:首页 » 挖矿知识 » 挖矿病毒chrome

挖矿病毒chrome

发布时间: 2023-03-16 21:03:55

❶ 一次挖矿病毒攻击分析

这两天期末了,最近老板这里突然来了个任务,客户服务器被攻击了,某台机器的cpu一直都跑满了,持续高负荷状态,客户公司的运营实在没有办法找到了我们。
先说一说之前这台服务器也出现过问题,被两波人搞过,一波写了webshell,另个一种了挖矿病毒,都被清除了,当然这些我都没有参与。
因为老板比较忙,我和另一个小伙伴接手进行分析,我们拿到这台服务器,既然是web服务器,最好得最有效的办法就是看web日志,但是这个日志是在很多,这就考虑经验问题了,另一个小伙伴道行比我深,他发现了痕迹:

通过很多尝试,在筛选“wget”的时候找到了攻击痕迹。

emmmmm,看到这个POST的请求,基本可以猜测出就是这几天爆出的thinkphp新的rce,具体读者可以去看看相关的报告,rce的分析网上也有了,有想去的可以去了解一下。根据这条日志,筛选ip我们找到了具体的攻击痕迹:

上传ibus脚本文件到tmp目录下命名为指定文件,这里www用户有对tmp目录的读写权限。

执行tmp中上传的指定文件,并等待执行完成,删除文件.
本地虚拟环境执行了一下这个ibus脚本:

可以看到这里执行生成了三个sh简单加密的脚本文件:nmi,nbus和.dbus是哪个文件,这三个脚本文件解密之后是三个cat和perl的脚本,分别执行了一下命令:

执行了三个perl脚本,就是挖矿的脚本了。最后我们把生成的恶意文件备份之后就进行清除了,总共是三个sh脚本,三个perl挖矿脚本和两个记录id的随机数之类的文件。
怎么说呢,这次攻击分析看似挺简单的,但是最难的部分,从日志里找出攻击者的恶意访问是很困难的,需要有很多的经验,比如对最近新漏洞的了解,以及各类典型漏洞的攻击方式,才能及时的从庞大的日志文件中根据特征找到攻击者的痕迹。
安全从业者还是十分吃经验的,博主也会更多的在实战中历练自己,也会分享记录自己的经验。

❷ chrome挖矿病毒怎么解决

只要是病毒肯定就可以删除
这种病毒属于顽固春孙病毒的一种得需要到安扒弯链全模式下杀毒
杀毒软件选择也很重要,得选择有针对这种病毒的专杀工具才行,可闹指以使用电脑管家杀毒。

❸ 打开任务管理器有个进程是google chrome,占了一半多CPU,玩游戏非常卡

可能中毒了,比如挖矿病毒。右击进程,打开文件位置,看路径是什么。还有查看选择列勾选命令行,看进程启动参数是什么。其他的用杀软杀毒。

❹ 解决挖矿病毒的经历

线上一台服务器,CPU高达90%以上,经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果,很快就会自动恢复
排查步骤:

结果:

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件?

我这台机器跑的容器不多,可以用复制文件的方法,先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题,最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器,所以先启动了一个新php容器,修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。(nginx容器已经映射目录到宿主机)

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后,删除原来的php容器。(这是自然也==直接删除了病毒文件)
执行 TOP命令,CPU占用正常。
平时防火墙和sellinux都关闭的话,服务器不要暴漏太多无用端口,出现问题应该最新通过进程名去查找文件的原始位置去分析问题,遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本

❺ 挖矿病毒

自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。

说说挖矿病毒的几个特点:

一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。

二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。

三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。

四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。

对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。

❻ 芯动矿机病毒解决办法

详细解决办法如下:
瑞星安全专家建议,对于一般用户,针对挖矿病毒攻击,采取如下防御措施,及时更新系统补丁,防止攻击者通过漏洞入侵系统。使用复杂密码,安装杀毒软件,保持监控开启,及时更新病毒库,及时备份数据库。不打开可疑的邮件附件,不点击邮件中的可疑链接。
对于规模较大、设备类型众多、维护工作繁重的企业,推荐使用终端杀毒软件,进行统一查杀,统一打补丁。企业还可以在网络入口处部署防毒墙,在网关处对病毒进行初次拦截,将绝大多数病毒彻底剿灭在企业网络之外。同时,对于企业中存在的虚拟化设备可以部署虚拟化专用版安全软件,有效保障企业内部虚拟系统不受病毒侵扰。

❼ 服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下,请在断网情况下进行:

1.停止并禁用Hyper-VAccess Protection Agent Service服务;

2.删除C:Windowssystem32NrsDataCache.tlb;

3.删除C:.dll,若删除失败,可重命名该文件为其他名称;

4.重启计算机;

5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;

6.删除C:Windowssystem32SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件,及时更新至最新病毒特征库。

❽ 我的电脑需要怎么操作才能恢复正常操作

Win+R调出运行框,输入control打开控制面板,查看方式为“类别”,用户账户和家庭安全,用户账户,更改用户账户控制设置,把通知级别调低一格。

❾ 挖矿病毒怎么处理

挖矿病毒处理步骤如下:

1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。

❿ 中挖矿病毒的表现

故障现象:使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。在检测异常进程中,未发现CPU使用率异常的进程(使用 top、htop 以及 ps -aux 进行检查),于是报障。

检测过程:

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。

4.排查liunx命令是否损坏,如损坏下载"procps-3.2.8"并编译,恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器,检查是否进程是否正常。

热点内容
区块链钱包是什么概念 发布:2025-07-11 18:33:21 浏览:340
留币圈是什么意思 发布:2025-07-11 17:53:51 浏览:252
二维码溯源区块链溯源 发布:2025-07-11 17:48:12 浏览:814
投资两个比特币收益多少 发布:2025-07-11 17:46:44 浏览:290
btc矿机怎么设置程序 发布:2025-07-11 17:18:09 浏览:61
币圈几年一个大牛 发布:2025-07-11 17:17:18 浏览:5
币圈红线是什么意思 发布:2025-07-11 17:17:18 浏览:702
莱特币购买网站 发布:2025-07-11 17:15:37 浏览:721
看懂区块链最好的视频没有之一 发布:2025-07-11 16:20:24 浏览:91
区块链pt钱包 发布:2025-07-11 16:19:38 浏览:304