當前位置:首頁 » 挖礦知識 » 挖礦顯示木馬

挖礦顯示木馬

發布時間: 2024-05-25 22:57:32

① 手機如何清除挖礦木馬

下載殺毒軟體,比如手機安全衛士,進行殺毒清理,然後重啟手機就可以了。

② 挖礦木馬是什麼

就是你電腦後台自行消耗顯卡與CPU資源的木馬病毒,這種木馬是看你電腦配置很高,後台自行挖礦,你一般看不出來,但是你顯卡或CPU佔用很高的。

③ 挖礦木馬如何查殺

查殺木馬的話你可以下載一個殺毒軟體或者是防火牆之類的

④ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:

1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:

5、經查詢該ip的所在國家是俄羅斯:

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:

7、 cd /tmp 進入相關目錄:

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:

9、** kill -9 40422**殺掉kdevtmpfsi進程:

10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:

11、用命令 批量殺掉 相關進程:

12、刪除kinsing文件:

13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:

14、 crontab -l 命令先看看crontab的定時任務列表吧:

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh

16、新增 定時任務 並刪除攻擊者的挖礦定時任務:

17、 crontab -l命令 查看現在只有殺進程的定時任務了:

18、禁止黑客的IP地址。

最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。

經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。

⑤ WannaMine挖礦木馬手工處理

關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下:

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下:

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]

⑥ 挖礦木馬是什麼

挖礦木馬 就是指用你電腦CPU GPU幫它進行復雜運算的惡意程序,一般不怎麼佔用網路流量
,主要是消耗計算機性能。針對這類惡意程序不少安全產品推出了一系列不錯的功能 都能比較好攔截查殺挖礦木馬,比如反挖礦防護功能等

熱點內容
關於比特幣與區塊鏈的說法 發布:2024-11-16 03:25:16 瀏覽:419
區塊鏈電子病歷策劃書 發布:2024-11-16 03:22:27 瀏覽:298
比特幣今美元 發布:2024-11-16 03:20:17 瀏覽:415
btc擔保 發布:2024-11-16 03:15:31 瀏覽:118
最火的區塊鏈游戲6 發布:2024-11-16 03:11:23 瀏覽:33
元宇宙游戲盤 發布:2024-11-16 03:10:05 瀏覽:524
以太坊最初是免費挖的嗎 發布:2024-11-16 03:09:31 瀏覽:322
小米供應鏈區塊鏈 發布:2024-11-16 03:04:59 瀏覽:251
比特幣委託成交後錢到哪裡了 發布:2024-11-16 02:33:52 瀏覽:587
幣圈主播創始人 發布:2024-11-16 02:22:34 瀏覽:705