0x00 前言
隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或伺服器進行挖礦,具體現象為電腦cpu佔用率高,c盤可使用空間驟降,電腦溫度公升高,風扇雜訊增大等問題。
0x01 應急場景
某天上午重啟伺服器的時候,發現程式啟動很慢,開啟任務管理器,發現cpu被占用接近100%,伺服器資源占用嚴重。
0x02 事件分析
分析程序引數:
在windows下檢視某個執行程式(或程序)的命令列引數使用下面的命令:
wmic process get caption,commandline /value
如果想查詢某乙個程序的命令列引數,使用下列方式:
wmic process where caption=」svchost.exe」 get caption,commandline /value
這樣就可以得到程序的可執行檔案位置等資訊。
temp目錄下發現carbon、run.bat挖礦程式:
具體技術分析細節詳見:
360cert:利用weblogic漏洞挖礦事件分析清除挖礦病毒:關閉異常程序、刪除c盤temp目錄下挖礦程式 。臨時防護方案
根據實際環境路徑,刪除weblogic程式下列war包及目錄
rm -f /home/weblogic/oracle/middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/weblogic/oracle/middleware/user_projects/domains/base_domain/servers/adminserver/tmp/.internal/wls-wsat.war
rm -rf /home/weblogic/oracle/middleware/user_projects/domains/base_domain/servers/adminserver/tmp/_wl_internal/wls-wsat
重啟weblogic或系統後,確認以下鏈結訪問是否為404
0x04 防範措施
新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高階攻擊技術,以增加對目標伺服器感染的成功率。通過利用永恆之藍(eternalblue)、web攻擊多種漏洞,如tomcat弱口令攻擊、weblogic wls元件漏洞、jboss反序列化漏洞,struts2遠端命令執行等,導致大量伺服器被感染挖礦程式的現象 。總結了幾種預防措施:
1、安裝安全軟體並公升級病毒庫,定期全盤掃瞄,保持實時防護2、及時更新 windows安全補丁,開啟防火牆臨時關閉埠
3、及時更新web漏洞補丁,公升級web元件
windows應急響應入侵排查思路
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...
Linux應急響應
檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...
linux應急響應
linux常用命令 常見日誌的位置以及分析方法 熟悉常規黑客的攻擊手法 常規安全事件的處置思路根目錄下所有.jsp字尾檔案 find name jsp最近3天修改過的檔案 find type f mtime 3最近3天建立的檔案 find type f ctime 3grep nv root etc...