挖礦病毒BearMiner

2022-06-30 23:15:08 字數 562 閱讀 6418

1、病毒現象

(1)、伺服器存在卡頓現象。

(2)、setring.exe執行了多個執行緒進行挖礦,監測到cpu占有率達到75%。

(3)、setring.exe挖礦檔案被釋放在c:\program files (x86)\microsoft msbuild\setring.exe,特意偽裝成為了nvidia的檔案(nvidia顯示卡市場覆蓋極廣,其檔案一般會被認為是安全的),圖示也是英偉達官方圖示。

2、病毒處置

c:\program files\microsoft msbuild\setring.exe

c:\program files (x86)\microsoft msbuild\setring.exe

c:\program files\windows photo\imaging.exe

c:\program files\windows photo\sadats.dll

使用了第三方安全裝置的使用者,也可以通過封堵以下兩個url,進行防護:

3、病毒詳情

zigw挖礦病毒

昨天配置了一天的aws今天就中招了,心痛一批 1.使用top命令可以明顯的 看到 zigw 程序,記下 程序號2.需要知道的是 3 執行命令 crontab l 可以檢視到有幾個定時器,crontab r 清除是沒有用的 4 目錄 root ssh 下面 authorize key 是攻擊者留下的後...

Sysrv hello挖礦病毒

麻蛋我的伺服器也中了這個挖礦病毒 先看一下網上能找到的文章吧 講了一大堆原理,你倒是給我解決辦法啊?1 先殺了程序 sysrv,network01 2 修改定時任務 crontab e 媽耶,看一下機器cpu就能看出來,3個小時以後又中毒了 3 我重灌系統了,鬼知道是什麼問題 這並不能徹底解決問題 ...

挖礦病毒處理記錄

1.top檢視挖礦病毒執行的程序,cpu一般占用很大比例 2.cd var spool cron 到裡面去看是否多了www或其他的定時任務檔案 3.cd tmp 然後 ll 檢視一下,最近建的檔案 挖礦程式一般都放這裡面 4.檢視專案public或其他地方 是否有新增遠端呼叫檔案 一般php檔案 或...