挖礦病毒定位

① 【Tools】D-Eyes一款綠盟科技檢測與響應工具

本公眾號發布的文章及工具僅限於交流學習，不承擔任何責任。若侵權，請告知立即刪除。

D-Eyes是綠盟科技提供的一款檢測與響應工具，用於應急響應，支持檢測勒索挖礦病毒、webshell等惡意樣本，輔助安全工程師排查入侵痕跡、定位惡意樣本。同時，它還能作為基線檢查工具，輔助檢測操作系統配置缺陷，或作為軟體供應鏈安全檢查工具，提取web應用程序開源組件清單，判斷引入的風險。(待開發)

在運行D-Eyes時，Windows系統需以管理員身份運行cmd後，輸入D-Eyes路徑執行，或切換至D-Eyes程序目錄下運行程序。Linux系統需以root身份運行。

文件掃描時，若檢測到惡意文件，D-Eyes會在其目錄下生成名為D-Eyes.xlsx的掃描結果文件，未檢測到惡意文件則不會生成文件，終端將有提示。

在Windows系統中，使用命令"D-Eyes fs"進行文件掃描。可選擇單一路徑掃描，如"D-Eyes fs -P D:\tmp"；進行多個路徑掃描，如"D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools"；並可指定線程數，如"D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3"。對於規則掃描，指定規則名稱去掉後綴.yar，如"D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt"。

在Linux系統中，使用命令"./D-Eyes fs"進行文件掃描。同樣支持單一路徑掃描、多個路徑掃描以及規則掃描，使用方法與Windows相同。

進程掃描提供默認掃描、指定進程pid掃描以及指定規則掃描，Linux系統同樣支持檢測指定外聯IP的進程。

Linux系統下，使用命令"./D-Eyes host"查看主機信息，包括網路信息和導出外聯IP；使用命令"./D-Eyes netstat"查看主機網路信息；使用命令"./D-Eyes users"查看主機賬戶信息；使用命令"./D-Eyes top"顯示主機CPU使用率前15個進程信息；使用命令"./D-Eyes task"查看計劃任務；使用命令"./D-Eyes autoruns"查看自啟項；使用命令"./D-Eyes summary"導出主機基本信息。

Linux主機自檢命令支持多個模塊檢測，包括空密碼賬戶、SSHServerwrapper、SSH用戶免密證書登錄、主機Sudoer、alias檢測、Setuid檢測、SSH登錄爆破、主機Rootkit檢測、主機歷史命令檢測、主機最近成功登錄信息、主機計劃任務內容、環境變數檢測、系統啟動服務檢測、TCPWrappers檢測、inetd配置文件檢測、xinetd配置文件檢測和預載入配置文件檢測。

欲了解更多或下載D-Eyes工具，請訪問github鏈接：github.com/m-sec-org/d-...

② 電腦中病毒怎麼徹底清除

想徹底清除病毒，只有一種辦法：全盤格式化並重裝系統。
有些病毒只能防範，並不能徹底清除，只能全盤格式化重裝系統解決。
但是有些病毒是可以利用一些殺毒軟體進行清除的。

③ 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛

1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅絝鍙ｅ紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆

8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣