第164天:应急响应-挖矿脚本检测指南_威胁情报_样本定性_文件清除_入口修复

news2024/11/16 21:32:41

目录

案例一:挖矿样本-Win&Linux-危害&定性

案例二:Linux-Web安全漏洞导致挖矿事件

案例三: Windows-系统口令爆破导致挖矿事件


案例一:挖矿样本-Win&Linux-危害&定性

windows样本

非常明显的特征就是cpu的占有率非常的高,gpu的占有率也比较高

查看挖矿脚本的配置文件

里面会有对方的url地址,以及钱包地址

把url放入到微步在线中去扫描,可以发现显示矿池

netstat查看网络连接

文件检测

linux样本

cpu在执行完挖矿程序后直接爆满

 查看网络连接

分析这个ip

kill -9 可以直接删除掉

案例二:Linux-Web安全漏洞导致挖矿事件

背景

某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器 CPU 的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向 XX 安全公司求助,解决网站跳转问题。

 进来以后查看进程,这里可能是环境的原因,正常这里应该有个进程满了

查看计时任务   update.sh就是后门文件

确定如何入侵,搭建了8080-tomcat网站

去查看网站目录

 这段代码的意思就是,如果你是从百度等网站跳转过来的那么,把你跳转到别的网站,如果你从域名搜索过来那将不会发生

<script type="text/javascript">
        var search=document.referrer; 
		if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0) 
			self.location="https://www.XXXXXXXX.com"; 
		</script>

该站点存在一个struts2搭建的网站,有漏洞就自己先利用一下,然后根据漏洞确认日志中一样日志别人的ip

直接可以利用攻击进行命令执行

 这是我自己打的日志

翻到之前的日志,确定了ip

然后去寻找他上传的木马

利用河马查杀直接去扫描tomcat整个目录

https://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.3

结果

查看这个文件

去日志当中查看谁访问过这个webshell

第一次访问

之前他用post访问过漏洞网站,可能是上传文件

webshell上传之后会去上传攻击样本,去看看时间是否对应

查看update.sh的内容

发现他会下载sysupdate,寻找这个文件

上传文件定性

update下面还有IP地址放到检测平台检测

微步在线检测为正常

奇安信检测为

文件里面还有ssh软连接

这篇文章介绍过

第144天:内网安全-Linux权限维持&OpenSSH&PAM后门&SSH软链接&公私钥登录-CSDN博客

案例三: Windows-系统口令爆破导致挖矿事件

 参考文章:一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)_应急响应靶场-CSDN博客

背景

某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务
器疑似被挖矿。

 进入服务器中,里面有java程序在运行,并且还附有ip地址

扫描url

发现是矿池因为挖矿程序非常占cpu或者内存,所以先去清除掉

右键属性会看到文件的地址

去到文件目录下

把exe文件上传分析,为恶意文件

结束进程

然后需要去排查是否还留有自启动或者计划任务,防止再次启动

计划任务

这里我直接利用火绒剑去排查,删除掉计划任务,同时删除木马目录(但是不太理解为什么需要删除掉进程还显示在运行,重启才删除掉了)

但是这里有个弊端就是不显示计划任务创建的时间,所以还是建议去windows自带的计划任务管理器中确认时间,以便于后期溯源,时间为2022/3/23 9:46:17

进程无异常标红

登录执行和开机自启动正常

去查看服务是否异常

映像劫持中发现异常

这是按五下粘滞键会执行cmd命令

在不登陆的情况能够有可能执行cmd命令窗口,但是环境好像有要求,这是截取了别人的图

这个在火绒剑中删除不掉

去注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

找sethc.exe右键输出,删的太快忘记截图

pchunter中发现隐藏账户

查看网络连接-正常,本来是netstat -an就可查看不知道为啥会有这么多端口开放,把tcp顶到看不见了

 完成掉以上布置只是清除了后门还没有定位ip

已知计划任务创建的时间为: 2022/3/23 9:46:17

 

去看时间在 23号九点46之前的

其中在3月21日发现在同一时刻有大量登录失败的数据包,猜测有人爆破

里面均未显示IP

在3月21日16:27:12首次成功登录并且显示了目标ip 192.168.226.1

 在3月21日16:28:12创建了隐藏账户

16:28:12设置未管理员账户

16:28:12 添加到管理员组

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2165200.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一定要收藏的4款AI论文大纲写作方法!说不定就用上了~

在当今学术研究和写作领域&#xff0c;AI论文写作工具的出现极大地提高了写作效率和质量。这些工具不仅能够帮助研究人员快速生成论文草稿&#xff0c;还能进行内容优化、查重和排版等操作。本文将推荐四款优秀的AI论文大纲写作方法&#xff0c;并特别推荐千笔-AIPassPaper&…

拼图缺口形状检测系统源码分享

拼图缺口形状检测检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer…

车间调度 | 利用遗传算法(GA)求解混合流水车间调度问题(Hybrid flow-shop scheduling problem, HFSP)

车间调度 | 利用遗传算法(GA)求解混合流水车间调度问题(Hybrid flow-shop scheduling problem, HFSP) 目录 车间调度 | 利用遗传算法(GA)求解混合流水车间调度问题(Hybrid flow-shop scheduling problem, HFSP)效果一览基本介绍程序设计参考资料 效果一览 基本介绍 利用遗传算…

11-pg内核之锁管理器(六)死锁检测

概念 每个事务都在等待集合中的另一事务&#xff0c;由于这个集合是一个有限集合&#xff0c;因此一旦在这个等待的链条上产生了环&#xff0c;就会产生死锁。自旋锁和轻量锁属于系统锁&#xff0c;他们目前没有死锁检测机制&#xff0c;只能靠内核开发人员在开发过程中谨慎的…

【测试项目】——个人博客系统自动化测试

&#x1f4d6; 前言&#xff1a;本文针对个人博客项目进行测试&#xff0c;个人博客主要由四个页面构成&#xff1a;登录页、列表页、详情页和编辑页&#xff0c;主要功能包括&#xff1a;登录、编辑并发布博客、查看详情、删除博客以及注销等功能。对于个人博客的测试就是针对…

JavaScript的注释与常见输出方式

注释 源码中注释是不被引擎所解释的&#xff0c;它的作用是对代码进行解释。Javascript 提供两种注释的写法:一种是单行注释&#xff0c;用//起头;另一种是多行注释&#xff0c;放在/*和*/之间。 单行注释&#xff1a; //这是单行注释 多行注释&#xff1a; /*这是 多行 注…

享元模式详解:内存优化的利器

享元模式&#xff08;Flyweight Pattern&#xff09;是一种结构型设计模式&#xff0c;它通过共享相同对象来减少内存消耗&#xff0c;从而提高系统性能。享元模式适用于大量细粒度对象的场景&#xff0c;这些对象具有相同或相似的状态。 一&#xff0c;享元模式的结构 享元模…

NXP i.MX8系列平台开发讲解 - 4.1.5 GNSS篇(五) - GPSD 编译(包含交叉编译)详解

专栏文章目录传送门&#xff1a;返回专栏目录 Hi, 我是你们的老朋友&#xff0c;主要专注于嵌入式软件开发&#xff0c;有兴趣不要忘记点击关注【码思途远】 文章目录 目录 1. 编译GPSD[Ubuntu] 2. 交叉编译 2.1 解决依赖库编译 2.1.1 libusb 编译 2.1.2 libncurses 编译…

Redis的一些通用指令

首先我们需要先连接客户端服务器&#xff0c;此时我们需要通过redis-cli和redis服务器进行交互&#xff0c;输入ping来确保通路的流畅 &#xff08;一&#xff09;get和set redis中最核心的两个命令就是get和set&#xff0c;get就是根据key来取出对应value&#xff0c;set就是把…

2024年汉字小达人区级自由报名比赛的真实流程图解——和往年比有一个重大变化

今天是2024年9月25日&#xff0c;上海小学生&#xff08;和家长&#xff09;们最关注的赛事之一——美丽汉字中文自修杯第十一届上海市小学生汉字小达人区级自由报名区级比赛正式开始了&#xff01; 虽然今天才是比赛的第一天&#xff0c;但是很多孩子已经摩拳擦掌开始展示自己…

信息安全工程师(18)常见密码算法

前言 常见的密码算法主要分为三大类&#xff1a;对称加密算法、非对称加密算法和摘要算法。 一、对称加密算法 对称加密算法&#xff0c;又称为秘密密钥算法或单密钥算法&#xff0c;是指加密和解密使用相同密钥的加密方式。这种算法的特点是加密速度快&#xff0c;适用于大量数…

【延时队列的实现方式】

文章目录 延时队列JDK自带的延时队列实现Redis实现延迟队列RabbitMQ 延时队列 延时队列 延时队列是一种特殊类型的队列&#xff0c;它允许元素在特定时间间隔后才能被处理。这种队列在处理具有延迟需求的任务时非常有用&#xff0c;例如定时任务、事件驱动系统等 延时队列在项…

Cannon-es.js编程进阶:复杂形状的碰撞

本文目录 前言最终复杂模型碰撞效果1、碰撞事件及休眠事件1.1 前文回顾及代码整改1.2 效果1.3 监听碰撞事件与休眠1.3.1 碰撞事件collide1.3.2 休眠事件sleepy及sleep2、多个形状的组合物体碰撞2.1 效果3、Trimesh3.1 代码3.2 效果前言 我们在Cannon-es.js基础入门:3D 物理碰撞…

新闻媒体宣发套餐扩大影响力和建立品牌形象方法-华媒舍

在当今互联网时代&#xff0c;营销推广是任何企业必须要面对的挑战。而在众多的营销方式中&#xff0c;精准投放和新闻媒体宣发套餐推广成为了越来越受欢迎的选择。本文将从精准投放和新闻媒体宣发套餐推广两个方面进行科普介绍&#xff0c;解析其背后的重要意义和带来的百倍回…

微软宣布弃用WSUS,企业用户尽早准备替换方案

微软最近宣布将逐步弃用Windows Server Update Services (WSUS)&#xff0c;不再为其开发新功能&#xff0c;但会继续支持现有的更新和功能。这一决定对企业客户来说影响深远&#xff0c;尤其是那些依赖WSUS来管理大规模Windows设备更新的组织。 对企业客户的影响 安全性与合规…

如何使用ant design vue的a-select下拉框,实现既能输入内容,也可以下拉选择的效果,apiselect同样适用

修改mode 强烈推荐 代码如下&#xff0c;重点在search和mode <ApiSelectv-if"editableData[record.key]"mode"SECRET_COMBOBOX_MODE_DO_NOT_USE"search"inputinspect":api"problem":params"{projectId:projectId}"showS…

[前端]DOM+CSS+HTML实现水波进度效果

效果展示&#xff1a; 代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Documen…

PAT甲级-1115 Counting Nodes in a Binary Search Tree

题目 题目大意 给定节点个数&#xff0c;以及每个节点的值&#xff0c;要求构造一棵二叉排序&#xff08;搜索&#xff09;树&#xff0c;并按照规定格式输出最后一层和倒数第二层的节点个数。 思路 二叉排序树的构造方法是递归&#xff0c;但思路类似于二分查找。逐个将n个…

浅克隆与深克隆

1、浅克隆 1.1、什么是浅克隆&#xff1f; 被复制对象的所有变量都含有与原来的对象相同的值&#xff0c;而所有的对其他对象的引用仍然 指向原来的对象(克隆对象与原型对象共享引用数据类型变量)。 如下图所示&#xff1a; 1.2、浅克隆代码实现 类实现接口 Cloneable&#xf…

教育在线答题在线小程序源码系统 PHP+MySQL组合开发源码开源可二次开发 带搭建部署教程

系统概述 教育在线答题在线小程序源码系统是一款专为教育行业设计的&#xff0c;集在线题库管理、智能组卷、在线答题、自动评分、成绩分析等功能于一体的综合性平台。该系统采用PHP作为后端开发语言&#xff0c;结合MySQL数据库进行数据存储与管理&#xff0c;确保了系统的稳…