快速定位挖礦木馬 !
一、挖礦木馬是啥玩意兒?
這裡以比特幣為例,所謂“挖礦”就是,將一段時間內比特幣系統中發生的交易進行確認,並記錄在區塊鏈上,形成新的區塊,挖礦的人叫做礦工。簡單來說,挖礦就是記賬的過程,礦工是記賬員,區塊鏈就是版本。比特幣系統的記賬權利是去中心化的,也就是每個礦工都有記賬的權利,只要成功搶到記賬權,礦工就能獲得系統新生成的比特幣獎勵。從這個意義上來說,挖礦就是生產比特幣的過程。
那麼挖礦木馬就是攻擊者利用各種手段將挖礦程式植入計算機中,利用其計算機的算力進行挖礦,從而獲取利益。
二、挖礦木馬分析
挖礦木馬最大的一個特徵就是cpu資源佔用非常高,top命令檢視cpu情況,可以看出xmr這個程式佔用cpu資源很高。
pe -ef檢視執行程式,發現tmp下存在可疑檔案。
木馬執行後釋放的檔案
木 馬 樣 本 部 分 截 圖
獲 取 到 木 馬 樣 本 後 我 們 可 以 借 助 一 些 分 工 具 或 平 臺 對 樣 本 分 析 。
通 過 樣 本 分 析 , 此 挖 礦 木 馬 會 釋 放 文 件 到 / u s r / . w o r k / 和 t m p 下 , 創 建 計 劃 任 務 , 向 a u t h o r i z e d _ k e y s 寫 入 自 己 的 k e y , 並 發 起 橫 向 爆 破 等 行 為 。
三 、 挖 礦 木 馬 查 殺
將 礦 池 加 入 黑 名 單 清 除 釋 放 的 文 件 , 刪 除 寫 入 的 密 鑰 。
檢 測 是 不 是 佔 有 C P U 資 源 接 近 1 0 0 % 以 上 的 過 程 , 找 到 過 程 對 應 的 文 件 , 確 認 是 不 是 屬 於 挖 掘 礦 木 馬 , K i l l 結 束 木 馬 進 程 。
檢 測 “ / v a r / s p o o l / c r o n / r o o t ” 、 “ / v a t / s p o o l / c r o n / c r o n t a b s / r o o t / ” 等 文 件 中 是 不 是 有 惡 意 的 腳 本 下 載 命 令
四 、 挖 礦 木 馬 防 護
及 時 為 系 統 打 補 丁 。 避 免 漏 洞 攻 擊 。
安 裝 殺 毒 軟 件 防 御 挖 礦 木 馬 攻 擊 。
使 用 強 度 高 的 登 錄 密 碼 以 及 W e b 應 用 、 數 據 庫 登 錄 密 碼 , 防 御 弱 口 令 爆 破 攻 擊 。
不 打 開 來 歷 不 明 的 文 檔 , 以 及 帶 有 圖 片 、 文 件 夾 、 文 檔 、 音 視 頻 等 圖 標 的 文 件 。
來自 “ Freebuf ”, 原文作者:AYAT0m;原文連結:https://www.freebuf.com/articles/database/323667.html,如有侵權,請聯絡管理員刪除。
相關文章
- 挖礦木馬清除日記
- 警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦
- 2021年典型挖礦木馬盤點
- 2021年挖礦木馬趨勢報告
- “挖礦木馬”橫行,企業如何避免當“礦工”?
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- 記一次與挖礦木馬的較量
- Linux挖礦木馬的技術演進探討Linux
- 用疫情防控思路解決挖礦木馬風險
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- Linux挖礦木馬WorkMiner集中爆發,利用SSH暴力破解傳播Linux
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 2018年度回顧:挖礦木馬為什麼會成為病毒木馬黑產的中堅力量
- 再見黑產“礦老闆”!360EDR多維防控挖礦木馬威脅
- 遊戲私服捆綁傳播挖礦木馬,已感染超5000臺電腦遊戲
- 漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
- 多部委加強整治,騰訊安全幫助企業抵禦“挖礦”木馬
- 騰訊安全:新型挖礦木馬“快Go礦工”猛攻企業裝置 IT行業成重災區Go行業
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- WannaMine挖礦木馬再活躍,14萬臺linux系統受攻擊,廣東省為重災區Linux
- “永恆之藍下載器”木馬篡改hosts指向隨機域名 多個漏洞攻擊內網挖礦隨機內網
- 記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬PHP
- 挖礦木馬就是讓系統卡一點慢一點,是“良性”病毒。同學,你大錯特錯了
- 挖礦病毒
- Stratum挖礦協議&XMR挖礦流量分析協議
- 嚴打“挖礦”,對“挖礦”活動零容忍
- EPK怎麼挖礦?EPK挖礦教程詳情
- 木馬學習
- BetaBot 木馬分析
- 木牛流馬
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- DeFi流動性質押挖礦系統開發及馬蹄鏈質押挖礦詳細開發方案