挖矿病毒的典型特征是会长时间占用大量的CPU资源。
处理方式:1、使命管理器查看CPU占用情况(Linux用top下令与ps下令),找出CPU长时间占用过高的历程
2、查到历程名称,定位历程所在的位置,收集到相关信息,kill查杀。
3、分析安整日记、汗青下令等,查找木马来源、运行时间、账户等;
4、检查计划使命、自启动服务、开机启动项等是否存在异常使命;
5、检查登记记录、埋伏账户、SSH认证等是否异常、防止木马留下后门;
6、检查防火墙、杀毒软件是否被篡改配置、信任指定端口、加入白名单或开始静默模式;对服务器进行查杀。
1、假如有条件,第一步只管先对服务器进行快照,保留案发现场
2、记录webshell的创建时间、修改时间、最近访问时间等信息,确定被入侵的大致时间
3、查看webshell源码,收集webshell的连接方式等,排查此时间
4、删除webshell,必要时可以对此中的代码进行备份留存。
5、实行复现漏洞。梳理攻击过程,并对其进行修复
6、对系统进行全面检查,如是否被写入其他webshell(可借助D盾扫描工具)、可疑文件、克隆用户、计划使命等
1、发送全员告急预警,提醒切勿继承中招。必要时隔离网络,防止钓鱼邮件继承扩散。
2、提醒已中招用户及时修改密码等敏感信息,全盘杀毒,帮忙排查客户个人电脑中的文件,如有木马、勒索步伐、后门立即清除。
3、从发送者邮箱、钓鱼邮件源码入手,收集发送者相关个人信息与钓鱼数据最终前往的目的服务器;信息收集、社工、IP反查、域名备案管理等手段查询目的站相关信息
4、端口、子域名、目次扫描等手段对目标服务器进行渗出
1、运营单位拥有的或控制的域名、IP、网站、代码框架、应用系统、公众号、小步伐、源代码、数据资产等。可已进行入侵的系统、装备、信息等都属于暴露面。
2、遗忘或者关注度少的资产,缺少相应监测手段,容易出现注入、代码问题、跨站脚本、配置错误、远程代码实行等漏洞风险。
3、企业敏感端口风险,由于资产云化、界限不受控制、流程管理问题、安全意识差是导致敏感端口大门向外开发的重要原因,敏感端口暴露重要有22、21、3389、3306、23
4、系统源码-开源、权限、url、PID、COOK
5、网盘和文库数据泄漏重要渠道。内部数据外泄,也是攻击者重点关注,尤其是高敏感数据和文档。
6、暗网数据暴漏。
1、对未知IT资产进行梳理,减少风险暴露面:梳理违规搭建、非法在运、过期退运、暂时发布的系统,以及访问控制不当而泄漏的内网管理系统与开发测试环境系统,提升网络攻击的难度并缩小防御面。
2、及时发现异常举动,并进行应急处置:
