Web应急:门罗币恶意挖矿】的更多相关文章

门罗币(Monero 或 XMR),它是一个非常注重于隐私.匿名性和不可跟踪的加密数字货币.只需在网页中配置好js脚本,打开网页就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径. 现象描述 利用XMR恶意挖矿,会大量占用用户的CPU资源,严重影响了网站的用户体验. 从08/09日0点开始,局域网内某IP访问网站页面会触发安全预警,只要访问此服务器上的网页,CPU直线上升100% 问题解析 通过获取恶意网页url,对网页页面进行分析,发现网站页面被…
前言 数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径.本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序.XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 . 2018年10月11日,攻击者使用恶意IP(223.89.72.8)暴力破解Victim的SSH服务成功,获取系统账…
背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三方dmg都是携带了相关恶意程序的. 现象 根据用户反映中招用户一般会有以下几个症状: CPU占有率高 系统卡顿 活动监视器打不开 电脑过热 木马 感染 经过简要分析,怀疑该木马源起于第三方安装包,在解压安装过程中,生成了一个伪装成11.png(名字可以变)的恶意文件和com.apple.Yahoo.…
大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先,我们今天要演示的是挖XMR Monero(门罗币),在挖币前,我们首先了解一下挖币需要用到的几个参数: 1.交易账号 2.钱包地址 3.Payment ID 4.Worker ID 5.邮箱地址 上面5个东西是挖矿中需要用到的,前2个是必须的,后面3个视设置而定,有时候可以不用. 1.创建交易账号和…
一.获取钱包地址 可以使用本地钱包地址.首先到Monero官网下载本地钱包,支持Windows 64-bit.Windows 32-bit.Mac OS X 64-bit.Linux 64-bit.Linux 32-bit.Mobile & Light Wallets以及Hardware Wallets等多种系统. 下载地址:https://getmonero.org/downloads/ 推荐直接使用交易所钱包地址.交易所钱包在接收门罗币后就可以直接进行交易.本地钱包接收将来进行交易还需要转账…
比特币之前一直很火,初次了解的时候才2000RMB一枚..看不懂哇,错失良机...当然了,看得懂也不买不起..当时还是穷学生. 最近又一直看到黑客利用linux漏洞挖门罗币获利的新闻,决定好生研究一下这个东西. 步骤一:生成钱包 首先我们需要注册一个钱包,就是类似账号的东西. 钱包分两种,一种是本地钱包,需要同步大量的数据,普通玩家一般不会选择这种. 一种是在线钱包,直接生成就可以了. 我们在这里讲一下怎么注册在线钱包. 打开 https://mymonero.com 点击 Create an…
很多朋友都看过我之前写的Ubuntu下挖XMR门罗币的教程,也有很多朋友提出,为什么不写个Centos的教程出来,今天我在这里就写个Centos的教程,看这个教程前,大家先看看之前的教程,因为里面涉及的交易账号.钱包地址等信息的获取方法我这里就不再重新写一次了,获取的方法都是相同的,使用也是相同的.原教程地址是:http://www.3000.cx/detail.php?id=6833 在Centos下,依次执行下列命令: yum install centos-release-scl epel-…
当使用门罗币钱包的时候,都需要启动monerod,用来同步门罗币区块. 但是因为区块体积目前已经超过40G了, 所以需要花费很多天时间才能把数据同步完. 这对于使用门罗币非常的不方便. 远程节点remote node 就相当于是一个人的monerod已经同步了所有的数据,然后提供给钱包使用, 因此使用钱包的人不需要同步区块了. remote node使用起来非常的安全. 这是官方的remote node使用手册: https://moneroworld.com/ 为了方便中国用户的使用, 这是中…
转自:https://www.360zhijia.com/anquan/417114.html 0x01 快速特征排查 TOP显示CPU占用高,但是没有高占用的进程 存在与未知服务器13531端口建立的TCP连接 文件/etc/ld.so.preload中指向了/usr/local/lib/libntp.so 存在可疑执行base64编码的python进程 0x02 快速清除 #!/bin/bash ps aux|grep "I2NvZGluZzogdXRmLTg"|grep -v g…
一.登录 攻击者如何登录系统未能查出,所有日志已被清除.为防万一,把系统中没用的用户都删掉并修改其他用户密码. 二.被攻击后的表象 1.服务器资源被大量占用,资源占用率飙升: 2.服务器所有JS文件被篡改,向输出页面增加了一个script标签(document.write('<script src="http://t.cn/EvlonFh"></script><script>OMINEId("e02cf4ce91284dab9bc3fc4c…
发现: 网站首页被恶意更改 网站的关键词和描述被恶意更改 服务器和只要访问此服务器上的网页cup 直线上升100% 排查代码发现js 文件被恶意更改,访问了挖矿网站 操作:删除js 里面的恶意代码,更改了账号. 网站查询得知:网站被XMR 恶意挖矿,服务器已经被攻击. 建议措施: (1)账号加固: (2)系统资源.网络.进程监控: (3)检查系统是否有恶意资源滥用情况(ELF挖矿程序): (4)检查系统是否有恶意JS网页挖矿脚本(网页挖矿脚本): (5)其他 附带:网络说明 https://ww…
一.下载钱包 钱包下载地址:https://getmonero.org/downloads/(如果下载缓慢请使用下载工具下载) 二.图形界面钱包生成 解压运行monero-wallet-gui.exe,一步步跟着操作就好了,就不在描述了. 重要提醒: 1.该信息请妥善保管,以防钱包被盗,如钱包丢失用该信息恢复钱包. 2.需要同步完区块才能进行查看实时余额及转账,但不影响挖矿,挖矿可直接使用钱包地址挖. 3.区块同步数据默认存放在C盘,根据下图可自行修改 默认存放目录 C:\ProgramData…
背景 今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波. 查询网络 遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/ 运行后会有连接IOC的流量 确认 分析结构 本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch.AutoCAD.Betterzip.Moveist等常用mac os软件…
网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改.而这种篡改事件在某些场景下,会被无限放大. 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去. 问题处理 1.确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 . 2.访问日志溯源 通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源…
PC端访问正常,移动端访问出现异常,比如插入弹窗.嵌入式广告和跳转到第三方网站,将干扰用户的正常使用,对用户体验造成极大伤害. 现象描述 部分网站用户反馈,手机打开网站就会跳转到赌博网站. 问题处理 访问网站首页,抓取到了一条恶意js: http://js.zadovosnjppnywuz.com/caonima.js 我们可以发现,攻击者通过这段js代码判断手机访问来源,劫持移动端(如手机.ipad.Android等)流量,跳转到https://262706.com. 进一步访问https:/…
新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象.被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑. 现象描述: 某新闻源网站首页广告链接被劫持到菠菜网站 有三个广告专题,链接形式如下: ​ http://www.xxx.cn/zhuanti/yyysc/index.shtml ​ http://www.xxx.cn/zhuanti/wwwsc/ind…
作为一个网站管理员,你采用开源CMS做网站,比如dedecms,但是有一天,你忽然发现不知何时,网站的友情链接模块被挂大量垃圾链接,网站出现了很多不该有的目录,里面全是博彩相关的网页.而且,攻击者在挂黑页以后,会在一些小论坛注册马甲将你的网站黑页链接发到论坛,引爬虫收录.在搜索引擎搜索网站地址时,收录了一些会出现一些博彩页面,严重影响了网站形象. 原因分析 网站存在高危漏洞,常见于一些存在安全漏洞的开源CMS,利用0day批量拿站上传黑页. 现象描述: 某网站被挂了非常多博彩链接,链接形式如下:…
网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权.为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等. 现象描述 网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析. Webshell查杀工具: D盾_Web查杀 Window下webshell查杀:http://www.d99net.net/index.asp 河马:支持多平台,但是需要联网环境. 使用方法:…
你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名.不对,不是新增了管理员,而是你的管理员用户名被篡改了. 现象描述 前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改 问题处理 1.网站webshell 在针对网站根目录进行webshell扫描,发现存在脚本木马,创建时间为2018-06-13 04:30:30 2. 定位IP 通过木马创建时间, 查看网站访问日志,定位到IP为:180…
当你直接打开网址访问网站,是正常的,可是当你在搜索引擎结果页中打开网站时,会跳转到一些其他网站,比如博彩,虚假广告,淘宝搜索页面等.是的,你可能了遇到搜索引擎劫持. 现象描述 从搜索引擎来的流量自动跳转到指定的网页 问题处理 通过对index.php文件进行代码分析,发现该文件代码 对来自搜狗和好搜的访问进行流量劫持. 进一步跟着include函数包含的文件,index,php包含/tmp/.ICE-unix/.. /c.jpg. 进入/tmp目录进行查看,发现该目录下,如c.jpg等文件,包含…
a)挖矿代码简要阐述: 网页中嵌入Javascript, 一旦用户打开该网站,浏览器便会按照脚本的指令变成一个门罗币挖矿机.这一段附加的挖矿代码通常因为大量占用CPU,使用户的计算机变得异常卡顿甚至无法正常使用.这样的网站会嵌入了Coinhive JavaScript Miner代码.该代码是基于CryptoNight挖矿算法编写,该算法可以产出CryptoNote类网络货币,如Monero(门罗币).Dashcoin(达世币),DarkNetCoin(暗网币)等.而嵌入的这个Coinhive…
概述 近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利.该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端.关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序.建议用户及时排查自身主机是否…
早些年我们知道美国国家安全局囤积不少漏洞准备自己使用,结果这些漏洞以及利用工具被方程式组织获得. 随后名为影子经纪人的黑客组织获得这些漏洞和工具后又再次出售,当初的永恒之蓝漏洞就是从这里泄露的. 永恒之蓝和永恒系列漏洞在全球掀起不少风波,不幸的是现在美国国家安全局的这些工具似乎再次遭到利用. 黑客用来感染企业进行挖矿: 国外安全研究人员日前监测到匿名黑客组织正在利用美国国家安全局此前泄露的漏洞和攻击向企业发动攻击. 黑客主要使用的仍然是永恒之蓝漏洞但这次还利用永恒冠军,通过Windows SMB…
2018年Windows漏洞年度盘点丨老漏洞经久不衰,新0day层出不穷 腾讯电脑管家2019-02-12共17875人围观 ,发现 1 个不明物体网络安全资讯 https://www.freebuf.com/news/195195.html 前言 漏洞是影响网络安全的重要因素,而漏洞攻击作为恶意攻击的最常用手段,更是有着目标行业化.手段多样化的趋势,不论是个人还是企业,都面临着严峻的漏洞威胁. 2018年在轰动式的“幽灵”.“熔断”两大CPU漏洞中揭开序幕.“震网3漏洞利用挖矿”.“ 412挂…
简介 小伙伴们,大家好,今天分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用. 这次遇到的是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币,行情走势请看 https://www.feixiaohao.com/currencies/monero,该病毒的特征是会占满你的CPU. 该病毒的侵入方式是通过扫描主机的Redis端口,一般默认为6379,通过Redis命令将程序注入到你的主机,对的,没有设置密码的那种,我们的测试环境主机就因此中招. 病毒的发现和侦破 1.起初,收…
一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2…
近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续. 以下是报告部分内容,下载报告完整版:https://yq.aliyun.com/download/…
SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品 from: http://www.freebuf.com/articles/paper/177473.html 导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南.上篇报告从DDoS 攻击的角度揭示了云上攻击最新趋势,本篇由同一技术团队云鼎实验室分享:「SSH暴力…
背景 近期通过流量告警发现多起外连矿池的告警,均外连至43.249.204.231 威胁情报信息如下: 系统表象 1.通过ps -ef|grep osascript发现在/library/LaunchAgents/文件下均有恶意挖矿plist文件,主要为/library/LaunchAgents/com.apple.00.plist等形式,且plist已加密.有部分MAC还会存在一个下述所示的明文指向性plist文件,其在每次开机时通过osascript来执行AppleScript脚本来运行加密…
我之前其实是不玩加密货币的,主要是没有钱取投资(tou ji),也没有钱去投资矿机. 不过前几天CSDN推送了一个短文,<黑客用GitHub服务器挖矿,三天跑了3万个任务,代码惊现中文> 歌词大意是:"黑客薅羊毛,对github.com攻击,使用服务器CPU挖乌龟币,一天挖4000个才几块钱", 我勒个去,还有这种骚操作呢? 啥币这么容易挖,还可以用CPU挖,没有显卡的工作机不是也可以挖了么?O(∩_∩)O哈哈~ 经过百度发现这个乌龟币和古董一样,也是喜欢讲故事: 故事一:…