挖矿软件病毒判断
① 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
② 这7个迹象出现,说明手机上可能有恶意软件
转自HackRead,作者 Uzair Amir,蓝色摩卡译,合作站点转载请注明原文译者和出处为超级盾!
恶意软件和间谍软件是两个最常与台式电脑有关的安全问题。虽然电脑确实容易感染恶意软件,但不要忽视移动设备也会受到感染的事实。 当智能手机感染了恶意软件,它会导致几个问题,包括黑客会窃取用户的信息。
智能手机用户必须意识到许多安全威胁,包括最近黑客实施的生物信息劫持(指纹等个人信息)。当手机感染病毒时,如果没有检测到, 会导致几个问题,包括勒索软件、密码盗窃和机密数据窃取。
此外,还有可能导致智能手机物理功能问题的恶意软件。 这里有7个迹象表明你的智能手机被恶意软件感染了:
要想知道我的手机是否感染了病毒, 首先要注意的是数据使用量的突然增加 。尽管智能手机上的一些应用程序和 游戏 可能会有大量数据。
但当没有明显原因的数据使用量突然增加时,这可能是手机感染了病毒的迹象 ,尤其是像ADB这样的恶意软件。Miner(挖矿病毒)以在Android手机和智能电视上挖掘Monero硬币而闻名。
iOS和Android都在设置应用程序中提供了一个部分,允许智能手机用户了解他们的设备上使用了多少数据。 Android设备也将能够提供一个图表,显示特定时间段内的数据使用情况——这使得检测突然增长变得很容易。
Android:
iPhone:
要打开或关闭蜂窝数据,请进入“设置”,然后点击“蜂窝数据”或“移动数据”。 如果你使用iPad,你可能会看到设置>蜂窝数据。 如果你使用的是双卡iPhone ,你需要将你的一个套餐设置为主数据号 ,以便查看你使用了多少手机数据。
另一个可能预示智能手机感染的常见信号是电池突然开始以比平时更快的速度耗尽。 虽然这有时可能是电池损坏的迹象,但也有多种病毒可能导致智能手机电池迅速耗尽 。
因此,如果在学习如何检查手机是否有病毒时出现了这个问题, 那么在花钱更换电池之前,应该先扫描手机是否有病毒感染。 在2019年2月,研究人员揭露了一场主要的安卓广告诈骗活动,名为“排放机器人”(DrainerBot),它会消耗电池和窃取设备的数据。
市场上一些最新的智能手机往往配备了强大的处理器和足够的内存,以便轻松处理应用程序和 游戏 中使用的最新技术。 当这种智能手机突然开始缺乏性能时(比方变卡),这也可能是该设备感染了病毒的迹象。
有时只有在进入需要强大的CPU和GPU的 游戏 时,才会注意到糟糕的性能。在其他情况下, 病毒也可能导致移动设备的总体性能下降——即使是在执行简单的任务时,比如打电话或读短信变卡或无法正常运行 。
除了发现这款智能手机在性能方面存在不足外,还有一个迹象表明它感染 HiddenMiner之类的恶意软件,那就是过热了 。这在大多数智能手机中并不常见;因此,当出现过热问题时,病毒扫描可以帮助检查手机上的恶意软件。
感染智能手机的病毒有时会导致不熟悉的应用程序自动安装。 因此,当应用程序在用户不知情的情况下出现在手机上时,这可能是设备感染病毒的又一个迹象。
每个不熟悉的应用程序都应该有一个概述,这通常是来自写作服务。所以安装某些程序之前,最好看看过去使用过该应用程序的评论者很重要。 当应用程序看起来可疑时,不仅要删除它,还应该彻底扫描设备,以寻找可能的病毒残留痕迹。
如果你想知道我的手机是否感染了恶意软件,你应该警惕自己的移动数据和Wi-Fi开关。 由于病毒通常会通过互联网发送和接收数据,在用户禁用移动数据或Wi-Fi连接后,感染可能会导致数据被打开。
另一个恼人的、但却是移动设备上病毒的明显标志就是弹出式广告。 这些广告通常会在用户离开应用程序并停留在手机主页上之后才出现。 弹出式广告有时会显示不合适的广告,或将用户带到智能手机应用商店的移动应用程序。
恶意软件可以影响台式电脑和移动设备。 当智能手机受到影响时,它会导致个人数据泄露给黑客。
在这些情况下,会出现几个问题,包括可能存储在智能手机上的信用卡信息 。那些怀疑自己可能被感染的人应该学习如何发现自己的手机是否有病毒。 这可以帮助他们采取行动,以消除病毒和保护他们的敏感数据。
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾 成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势
③ 挖矿病毒
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。
说说挖矿病毒的几个特点:
一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。
二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。
三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。
四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。
挖矿病毒的防御
挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。
对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。
④ 挖矿病毒怎么排查
登录系统查看任务管理器,查看占用内存较大且无法关闭的进程。进程上点击鼠标右键,打开文件位置(先要在文件夹选项中选择显示隐藏文件及操作系文件)。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件,右键编辑打开这个文件查看,可查看到恶意进程与哪个挖矿组织通信。
通过查看系统操作日志可分析出病毒的来源、启动时间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。
根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。
如果是Linux系统请参考:网页链接
⑤ 如何查看电脑是否被植入了挖矿程序
如何判断自己的电脑是否被挖矿,怎样预防?
电脑开机后,所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器,在“进程”卡项中,查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况,并且几分钟后都没有降低的趋势,这个程序就可能是病毒了。
想要预防自己的电脑被挖矿也很简单,只要安装正规的安全软件,使用安全的浏览器,添加安全合适的插件,就可以防止电脑被挖矿了。
当然,如果不浏览不正规不健康的网站,不下载盗版游戏,盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。
⑥ 怎么判断手机是否被挖矿
其实不难,我们日常使用手机的时候都会有一些后台应用,这些应用往往在重启后就会被“杀死”。但是如果手机被黑客入侵后,在重启后,手机会再度进入高负荷状态,往往系统运行内存会被迅速使用殆尽,所以如果手机出现无端卡顿、发热、死机,那就有可能是被挖。
可能用手机“挖矿”还没挖到加密货币,黑客就把信息都给窃取了。人们不仅会遇到手机卡顿、发热甚至死机等问题,还有可能遭遇其他的资金损失。
而且,值得警惕的是,有些手机挖矿APP打着“挖矿”的名义,却让用户投入资金并不断发展下线。
⑦ 挖矿病毒是一段代码或者一个软件
“挖矿”病毒是一段代码或者一个软件,伪装成一个正常文件进入受害者的电脑。
病毒利用主机或者操作系统的高危漏洞,并结合高级攻击技术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。“挖矿”病毒会消耗大量的计算机处理资源。
⑧ 中挖矿病毒的表现
故障现象:使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。在检测异常进程中,未发现CPU使用率异常的进程(使用 top、htop 以及 ps -aux 进行检查),于是报障。
检测过程:
1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载"procps-3.2.8"并编译,恢复top等系列命令。
5.检测进程是否异常。
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处。
7.排查ssh登录日志。
8.把ssh登录切换成秘钥登录。
9.重启服务器,检查是否进程是否正常。
⑨ 我电脑好像中挖矿木马病毒了!怎么能监测出来
可以打开腾讯智慧安全的页面
然后在产品里面找到御点终端全系统
接着在里面选择申请使用腾讯御点,再去用病毒查杀功能杀毒
⑩ 怎么查看电脑有没有挖矿病毒
中挖矿病毒有以下几种显著的表现:
1.电脑异常运行缓慢
2.电脑异常死机/卡机
3.什么都没打开但是cpu占用率非常高
4.网络缓慢,出现大量网络请求