Window應急響應(四):挖礦病毒
隨着虛擬貨幣的瘋狂炒做,挖礦病毒已經成爲不法分子利用最爲頻繁的攻擊方式之一。病毒傳播者能夠利用我的電腦或服務器進行挖礦,具體現象爲電腦CPU佔用率高,C盤可以使用空間驟降,電腦溫度升高,風扇噪聲增大等問題。html
0x01 應急場景
某天上午重啓服務器的時候,發現程序啓動很慢,打開任務管理器,發現cpu被佔用接近100%,服務器資源佔用嚴重。web
0x02 事件分析
登陸網站服務器進行排查,發現多個異常進程:windows
分析進程參數:安全
wmic process get caption,commandline /value >> tmp.txt服務器
TIPS:微信
在windows下查看某個運行程序(或進程)的命令行參數
使用下面的命令:
wmic process get caption,commandline /value
若是想查詢某一個進程的命令行參數,使用下列方式:
wmic process where caption=」svchost.exe」 get caption,commandline /value
這樣就能夠獲得進程的可執行文件位置等信息。
訪問該連接:dom
Temp目錄下發現Carbon、run.bat挖礦程序:post
具體技術分析細節詳見:網站
360CERT:利用WebLogic漏洞挖礦事件分析spa
清除挖礦病毒:關閉異常進程、刪除c盤temp目錄下挖礦程序 。
臨時防禦方案
-
根據實際環境路徑,刪除WebLogic程序下列war包及目錄
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
-
重啓WebLogic或系統後,確認如下連接訪問是否爲404
0x04 防範措施
新的挖礦攻擊展示出了相似蠕蟲的行爲,並結合了高級攻擊技術,以增長對目標服務器感染的成功率。經過利用永恆之藍(EternalBlue)、web攻擊多種漏洞,如Tomcat弱口令攻擊、Weblogic WLS組件漏洞、Jboss反序列化漏洞,Struts2遠程命令執行等,致使大量服務器被感染挖礦程序的現象 。總結了幾種預防措施:
一、安裝安全軟件並升級病毒庫,按期全盤掃描,保持實時防禦
二、及時更新 Windows安全補丁,開啓防火牆臨時關閉端口
三、及時更新web漏洞補丁,升級web組件
推薦閱讀:
最後
歡迎關注我的微信公衆號:Bypass--,每週原創一篇技術乾貨。
- 1. Window應急響應(四):挖礦病毒
- 2. Linux應急響應(三):挖礦病毒
- 3. 挖礦病毒應急響應分析
- 4. Window應急響應(六):NesMiner挖礦病毒
- 5. Window應急響應(三):勒索病毒
- 6. Window應急響應(五):ARP病毒
- 7. 【應急響應】勒索病毒
- 8. 應急響應-挖礦問題
- 9. 挖礦病毒
- 10. miner2 挖礦病毒
- 更多相關文章...
- • 如何僞造ARP響應? - TCP/IP教程
- • HTTP 響應頭信息 - HTTP 教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • RxJava操作符(四)Combining
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window應急響應(四):挖礦病毒
- 2. Linux應急響應(三):挖礦病毒
- 3. 挖礦病毒應急響應分析
- 4. Window應急響應(六):NesMiner挖礦病毒
- 5. Window應急響應(三):勒索病毒
- 6. Window應急響應(五):ARP病毒
- 7. 【應急響應】勒索病毒
- 8. 應急響應-挖礦問題
- 9. 挖礦病毒
- 10. miner2 挖礦病毒