当前位置: 首页 > article >正文

应急响应-挖矿木马-常规处置方法

隔离被感染的服务器/主机
  • 部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后,会以当前服务器/主机做跳板,对局域网内的其他机器进行漏洞扫描和利用。所有发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁止非业务使用端口、服务、配置ACL白名单,非重要业务系统建议先下线隔离,在做排查。
确认挖矿进程
  • 将被感染服务器/主机做完基本隔离后,就要确认是挖矿木马正在运行的进程,以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式:一种是程序命名的不规则的数字或字母;另一种是伪装为常见进程名,仅从名称上很难辨别。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名,只要是CPU占用率较高的进程都要逐一排查。
挖矿木马清除

挖矿木马常见的清除过程如下。

阻断矿池地址的连接
  • 在网络层阻断挖矿木马与矿池的通信
清除挖矿定时任务、启动项等
  • 大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或从服务器下载挖矿进程,则将导致挖矿进程清除失败。所有在清除挖矿木马时,需要查看是否有可疑的定时任务,并及时删除。
  • 还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所有在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,进行清除。
定位挖矿木马文件的位置并删除
  • 在Windwos系统下,使用【netstat -ano 】系统命令可定位挖矿木马连接的PID,在通过【tasklist】命令可定位挖矿木马的进程名称,最后通过任务管理器查看进程,找到挖矿木马文件的位置并进行清除。
  • 在Linux系统中,使用【netstat -anpt】系统命令可可查看挖矿木马进程、端口及对应的PID,使用【ls -alh /proc/PID】命令可查看挖矿木马对应的可执行程序,最后使用【kill -9 PID】命令可结束进程,使用【rm -rf filename】命令可删除该文件。
  • 在实际操作中,应根据脚本的执行流程确定挖矿木马的驻留方法,并按照顺序进行清除,避免清除不彻底。
挖矿木马防范
挖矿木马僵尸网络的防范
  • 挖矿木马僵尸网络主要针对服务器进行攻击,攻击者通过入侵服务器植入挖矿机程序获利。要将挖矿木马僵尸网络扼杀在摇篮中,就要有效防范攻击者的入侵行为。以下是防范挖矿木马僵尸网络的方法。
避免使用弱密码
  • 服务器登录账户和开放端口的服务(如MySQL服务)应使用强密码。规模庞大的僵尸网络拥有完备的弱密码暴力破解模块,避免使用弱密码可疑有效防范僵尸网络发起的弱密码暴力破解。
及时打补丁
  • 通常,在大部分漏洞细节公布之前,相应厂商就会推送相关补丁。因此,及时为系统和相关服务打补丁可有效避免攻击。
服务器定期维护
  • 挖矿木马一般会持久化驻留在服务器中,若未能定期查看服务器状态,则其很那被发现。因此,定期维护服务器,包括查看服务器操作系统CPU使用了是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。
网页/客户端挖矿木马防范
浏览网页或启动端时注意CPU/GPU的使用率
  • 挖矿木马脚本的运行会导致CPU/GPU使用率飙升,如果在浏览网页或使用客户端时发现这一现象,并且大部分CPU的使用均来自浏览器或未知进程,那么网页或客户端可能嵌入了挖矿木马脚本。发现后应及时排查异常,找到挖矿程序并清除。
避免访问被标记为高风险的网站
  • 大部分杀毒软件和浏览器都具备检测网页挖矿木马脚本的能力,访问被标注为高风险的恶意网站,就会有被嵌入挖矿木马脚本的风险。因此,我们应避免访问被标记为高风险的网站。
避免下载来源不明的客户端和外挂等辅助软件
  • 来源不明的客户端和外挂对会隐藏挖矿木马,因此,我们应避免下载来源不明的客户端和外挂等辅助软件。

http://www.kler.cn/a/234011.html

相关文章:

  • 007-spring-bean的相关配置(重要)
  • 以太网通信--读取物理层PHY芯片的状态
  • Issac ROS navigation测试
  • SQL Server数据库多主模式解决方案
  • zabbix监控山石系列Hillstone监控模版(适用于zabbix7及以上)
  • Linux的mmap
  • notepad++成功安装后默认显示英文怎么设置中文界面?
  • 突破编程_C++_面试(基础知识(10))
  • 学习笔记——ENM模拟
  • 微服务学习 | Spring Cloud 中使用 Sentinel 实现服务限流
  • 零基础学编程从入门到精通,系统化的编程视频教程上线,中文编程开发语言工具构件之缩放控制面板构件用法
  • Centos 7系统安装proftpd-1.3.8过程
  • 图像的旋转不变特性及应用
  • React18原理: Fiber架构下的单线程CPU调度策略
  • 代码随想录-背包问题
  • vue3 之 商城项目—详情页
  • 双非本科准备秋招(21.1)—— 力扣二叉搜索树
  • C++ //练习 5.4 说明下列例子的含义,如果存在问题,试着修改它。
  • 随机MM引流源码PHP开源版
  • RabbitMQ-1.介绍与安装
  • django中实现观察者模式
  • Python面试题7-12
  • Linux无交互自动安装miniconda3
  • 004集—二调数据库标注分子分母模式及统计净面积——arcgis
  • MybatisPlus Wrapper构造器(查询篇)
  • 【Java面试】数据类型常见面试题