記錄一次被挖礦程式植入,解決問題並布置預防

2022-07-10 14:09:12 字數 722 閱讀 8255

阿里雲提示   被挖礦程式攻擊

遠端連上阿里雲之後,發現某一程式占用cpu資源過高,該應用名為win1ogon.exe,程序轉到詳細資訊頁,選中該程序

win1ogon.exe

右鍵選擇結束程序樹,然而關掉之後,仍然存在

猜測該應用被轉成服務

接下來進入windows管理工具》服務   點選在執行的服務檢視

排查過程的順序是,首先排查正在執行,其次排查狀態為空,雙擊進入屬性

發現被偽裝成windows_updata的挖礦服務

檢視可執行檔案路徑,找到可疑路徑與挖礦程式路徑一致的服務,找到該程式

找到該程式時,發現1sass.exe  是被偽裝成lsass.exe的轉服務程式

通過該程式執行  remove

刪除掉該服務,然後清理掉目錄c:/windows/debug/m/

礦機程式排除完畢。

發現該礦機是通過新增administrator$使用者遠端連線的

然後就是刪除administrator$使用者,並在windows管理工具中》計算機管理》本地使用者和組中禁掉administrator(預設管理員,謹慎處理)

再然後,就是限制3389埠的遠端訪問,開啟防火牆,找到遠端連線3389埠,設定訪問白名單,只允許公司網路訪問(也可以通過修改3389預設埠規避)

記錄一次redis 被挖礦的經歷

專案加入redis,伺服器redis 剛開始想著先全部開發訪問,等快上線了再配置密碼什麼的。沒想到第二天就中招了額。好吧,剛開始查了cpu占有率特高,然後redis 多出bakeup1 bakeup 2.刪除了,再出現。於是就找到了問題的根源了。redis 被挖礦了。第一步,先在 root ssh ...

記一次伺服器被挖礦程式攻擊解決

這兩天先後收到阿里雲的兩條簡訊,一次提示有挖礦程式 一次提示伺服器上的crontab被改了。中間隔了1天。剛開始我還沒有引起注意,看到有挖礦程式的時候,用top檢視到有mined的程序,就直接kill掉了,後來又遇到的時候,發現不對啊,有兩個特別佔cpu的程序,分別是qw3xt.2和ddgs.301...

記錄一次kworkerds挖礦木馬的解決

top檢視程序資訊,發現有幾個名為kworkerds的程序,即為挖礦程序 使用crontab l命令檢視系統定時任務,發現了它的定時任務 pastebin是任意上傳分享的平台,攻擊者藉此實現匿名,於是訪問想看看指令碼是什麼樣的,可是好像被刪掉了,有點小遺憾。進入 var spool cron將對應的...