Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

怎么确认服务器中了挖矿木马病毒及清除办法

一、挖矿特点分析。

当服务器或个人电脑处于什么状态时,我们可以判断它是挖矿的。一般来说,当我们的服务器或个人电脑资源(中央处理器)使用率接近或超过100%时,服务器或个人电脑的运行延迟,我们可以判断它是否被挖矿。常见挖矿的其他特点如下:服务器或个人电脑访问不可信的地址,包括主机、知识产权和域名。这是因为大多数矿业需要从不可信的地址下载初始程序,而不可信的来源主要是第三方信息结构和企业内部历史数据沉淀。

服务器或个人电脑添加异常或恶意文件、过程或服务,大多数异常文件保存在服务器或个人电脑的TMP目录中。服务器或器或PC的定时任务。


二、挖矿应急响应程序。

PS:在处理挖矿的整个应急响应过程中,要严格执行记录和备份。包括记录和备份分析过程中的命令和分析文件。这是一个最简单的过程,通常对小B来说,完整的过程包括:2.1确认报警是否属于挖矿。一般情况下,我们都是通过报警到服务器或PC被挖矿。此时我们首先要判断报警是否属于误报,如果没有误报则需要确认报警是否真的属于恶意挖矿,如果没有必要丢失到其他应急响应过程中,如果属于挖矿则需要进行后续处理。以下是一些常见的确认挖矿方法:


Windows确认挖矿。采用图形界面分析确认。打开任务管理器:Ctrl+Alt+Delete快捷键或win+r快捷键,输入taskmgr;B.在任务管理器中找到资源管理器;C.通过资源管理器找到占用CPU资源较高的服务或过程,获取其PID信息;D.使用获得的PID信息在任务管理器的详细信息栏中找到相应的程序,右键打开文件位置,获得异常文件目录;E.进入异常文件目录,分析文件,确认是否属于采矿程序;使用命令分析确认:打开终端或powershell:win+r快捷键并输入cmd。#获取所有过程细节,并将结果输出到tmp.txt文件。wmicprocessgetcaption,commandline/value>>tmp.txt。获取单个过程的详细信息。wmicprocesswherecaption=svchost.exegetcaption,commandline/value。#获取子过程的父过程信息。wmicprocesswhereName="svchost.exe"getParentProcessID。用第三方工具分析确认:各有千秋,大家自己选择。ProcessMonitor:不需要安装。ProcessHacker:不需要安装。火绒:需要安装,界面更友好(个人意见)



Linux确认挖矿。A.使用top命令查看系统性能,找到高消耗资源的过程PID;B.根据获得的PID信息,使用ps-ef-pPID命令查找系统过程的详细信息;C.根据流程的详细信息定位到文件位置,进入文件位置进行文件分析,确认是否属于采矿程序。#除了top,还有很多好用的Linux命令。uptime#查看机器负载。每秒输出一次vmstat1#系统核心指标。mpstat-PALL1#每秒显示所有CPU的使用情况。Pidstat1#每秒输出一输出一次。iostat-xz1#每秒输出一#磁盘IO。#使用ps时,请注意ps的参数。



确认挖矿后的清理工作。当我们通过确认服务器或个人电脑属于挖矿时,我们需要进行清理工作。当然,不同的应急响应人员在执行2.2和2.3步骤时可能会有不同的顺序。在小B看来没什么区别。如果先分析再删除,更容易追溯到被攻击的环境;但是,如果在整个过程中做好完整的备份和记录,先删除再分析也可以。以下是一些常见的清理挖矿方法:Windows清理挖矿。我确认挖矿程序后,首先备份挖矿程序。接着,先关闭相应的服务和流程,然后删除相应的定时任务,最后删除相应的文件。删除文件后,反向定时任务、过程和服务,最好在间隔一定时间后再次查看。图形界面通常用于Windows进行操作,所以不要胡说八道。



Linux清理挖矿。Linux确认挖矿后,还需要备份挖矿程序,然后执行响应操作。停用:systemctlstop*.service;杀死过程:kill9PID,很多时候不仅仅是杀戮过程;删除文件:rm-frabnormal_file,删除文件时可以使用find/-nameabnormal_file查找系统中的所有恶意文件;清除定时任务:crontab-e;和Windows一样,删除完成后,需要反向操作,间隔一定时间后再检查是否清理干净。


分享: