「作者簡介」：CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者
「推薦專欄」：對網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》

一、什么是挖礦

比特幣系統(tǒng)每隔一段時間就會在節(jié)點上生成一個「隨機代碼」，互聯(lián)網(wǎng)中的所有設(shè)備都可以尋找這個代碼，誰先找到就能獲得獎勵。

而「尋找代碼」的過程，就是挖礦。

設(shè)備通過計算來篩選出符合條件的隨機代碼，每找到一個隨機代碼往往需要上萬億次的「哈希運算」，CPU通常會被頂?shù)?00%。

為了「降低成本」，黑客往往會通過入侵的方式，控制別人的計算機來幫自己挖礦。

二、被挖礦主機現(xiàn)象

挖礦木馬最大的特點就是「CPU占用高」，占用高以后，電腦溫度就會升高、風(fēng)扇噪音也會變大，服務(wù)器上的業(yè)務(wù)變得異常緩慢。

三、挖礦木馬處置思路

1）隔離

非重要業(yè)務(wù)系統(tǒng)直接下線隔離再做排查。

重要業(yè)務(wù)系統(tǒng)：在不影響業(yè)務(wù)的前提下，及時隔離當(dāng)前主機，如禁用非業(yè)務(wù)使用端口、服務(wù)、配置ACL白名單。

2）確認(rèn)挖礦進(jìn)程

挖礦程序的進(jìn)程名稱一般表現(xiàn)為兩種形式：

一種是不規(guī)則的數(shù)字或字母，這種需要檢查哪些不常見的名字。

另一種是偽裝成常見的進(jìn)程，這種就重點看CUP占用高的進(jìn)程。

3）清除木馬

網(wǎng)絡(luò)層面阻斷挖礦木馬與礦池的通信。

清除挖礦定時任務(wù)，啟動項等。

定位挖礦文件位置并刪除。

4）加固

根據(jù)挖礦木馬的傳播方式，修復(fù)相應(yīng)漏洞，防止再次感染。

四、挖礦木馬處置步驟

首先根據(jù)CPU占用率確定確定挖礦進(jìn)程，找到母體文件并清除。

而后是檢查計劃任務(wù)、啟動項中，挖礦木馬的持久化操作，杜絕復(fù)發(fā)。

最后通過賬號、日志、母體文件等信息，溯源攻擊路徑。

1）Windows

0、挖礦木馬現(xiàn)象

CPU占用高，主機卡頓

1、排查進(jìn)程

思路：

通過網(wǎng)絡(luò)連接定位進(jìn)程PID，再通過PID定位具體程序，通過任務(wù)管理器定位進(jìn)程文件位置。
排查CUP占用高的、進(jìn)程名異常的進(jìn)程。

相關(guān)命令：

netstat -ano 查看網(wǎng)絡(luò)連接，最常見的就是大量445的連接。

tasklist | findstr “PID” 根據(jù)PID查看具體的進(jìn)程。

wmic process | findstr “進(jìn)程名稱” 根據(jù)進(jìn)程名獲取進(jìn)程位置。

attrib -H 文件名 取消隱藏屬性，很多時候我們定位到文件位置時，發(fā)現(xiàn)文件夾是空的，這時候就需要取消文件的隱藏屬性并顯示文件的后綴名。

2、排查賬號

思路：

檢查弱口令、可疑賬號，比如新建賬號、隱藏賬號、克隆賬號

相關(guān)命令：

net user查看當(dāng)前系統(tǒng)的賬號，與用戶確認(rèn)，是否有新建的可疑賬號；詢問用戶賬號口令是什么，是否存在弱口令。

WIN + R，輸入lusrmgr.msc，查看是否有隱藏賬號。

3、排查啟動項

WIN + R，輸入 regedit，打開注冊表，看開機啟動項。

WIN + R，輸入msconfig 或【任務(wù)管理器】-【啟動】

4、排查計劃任務(wù)

【控制面板】-【計劃任務(wù)】

cmd 輸入at或schtasks.exe。

5、日志分析

WIN + R，輸入 eventvwr.msc

重點看登錄日志，看登錄類型，2（網(wǎng)絡(luò)共享）和10（遠(yuǎn)程桌面）是挖礦木馬出現(xiàn)最多的登錄類型。

根據(jù)樣本文件的創(chuàng)建時間，排查這個時間段的登錄情況。

2）Linux

1、排查進(jìn)程

top命令檢查CUP占用高的進(jìn)程，確定PID，定位文件位置

netstat -anp 查看網(wǎng)絡(luò)連接

ps -ef 查看可疑進(jìn)程

ps -aux 查看進(jìn)程

ls -alh /proc/PID 根據(jù)PID查看進(jìn)程對應(yīng)的可執(zhí)行程序

kill -9 PID 結(jié)束進(jìn)程

2、排查賬號

cat /etc/passwd 查看用戶信息

last 用戶最近登錄的信息

lastlog 所有用戶最后一次登錄的信息

lastb 用戶登錄失敗的信息

history 歷史命令

3、排查定時任務(wù)

crontab -l 查看計劃任務(wù)

cat /etc/crontab 查看計劃任務(wù)

crontab -u root -l 查看root用戶的計劃任務(wù)

ls /etc/cron* 查看計劃任務(wù)文件

4、排查啟動項

/etc/rc*

/etc/rc.d/rc

/etc/rc

/etc/rc.local

/etc/rc.d/rc.local

/etc/rc.d/rc

/etc/init/*.conf

五、挖礦木馬應(yīng)急實例

驅(qū)動人生挖礦木馬：

利用永恒之藍(lán)傳播。

存在大量445連接行為，netstat -ano | grep 445

服務(wù)名包含drivers（\windows\system32\drivers\svchost.exe）

母體文件設(shè)置為隱藏，會創(chuàng)建多個計劃任務(wù)（Rsta或其他隨機名稱），調(diào)用PowerShell。

粉絲福利

評論區(qū)評論參與抽獎，送《Windows PowerShell自動化運維大全》一本。

《Windows PowerShell自動化運維大全》由微軟最有價值專家、微軟TechEd優(yōu)秀講師徐鵬著作，多年經(jīng)驗毫無保留分享，一本書完全講透Windows PowerShell自動化運維所有核心知識點，贈送同步視頻學(xué)習(xí)教程，助你從運維初級工程師轉(zhuǎn)向高級運維工程師！一本書精通Windows PowerShell自動化運維！

本書從基礎(chǔ)的 PowerShell 命令開始，先后講述了基礎(chǔ)命令、模塊、腳本的編寫等相關(guān)知識。同時為了讓大家更快地理解和掌握 PowerShell 的環(huán)境配置和編寫，我們使用系統(tǒng)內(nèi)置的 PowerShell ISE 開發(fā)環(huán)境進(jìn)行 PowerShell 代碼的開發(fā)和運行。為了照顧很多基礎(chǔ)薄弱的讀者，在進(jìn)行代碼案例演示時都使用了 15 行以內(nèi)的代碼。

本書可作為學(xué)校培訓(xùn)與企業(yè)培訓(xùn)的基本學(xué)習(xí)教程和工具書，相信通過本書的學(xué)習(xí)，讀者可以更快地理解 PowerShell在日常生活及企業(yè)內(nèi)的應(yīng)用，為讀者在自動化運維的道路上助力。

文章來源地址http://www.zghlxwxcb.cn/news/detail-683098.html

到了這里，關(guān)于挖礦病毒應(yīng)急響應(yīng)思路，挖礦病毒事件處理步驟的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！