搜索

近期DDG挖矿病毒防护与分析

gecimao 发表于 2019-08-25 09:34 | 查看: | 回复:

  最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下

  本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析

  如果服务器出现CPU占用异常得高,并且占用的进程名称出现关键字ddg*(*是任意匹配符)字样,可以判断服务器中已经被植入了该DDG挖矿病毒

  在已经感染的情况下,仅仅将CPU占用很高的进程通过kill杀掉,如qW3xT.2,是不能解决问题的,因为不仅存在守护进程ddg*会重启挖矿程序,甚至cron定时计划也已经被篡改。

  该脚本创建了crondig定时任务,在如下两个文件中写入内容,每15分钟再次下载该shell并且执行

  同时,如箭头所指内容,根据uname -m判断32位或64位后进一步下载恶意程序ddg*:

  在沙箱中运行此样本,观察程序行为,通过lsof查看进行,发现大量的访问一些公网地址的8000端口:

  之后,疑似开始扫描内网的一些IP,并且访问的都是7379端口、6380端口:

  最后下载创建/tmp/qW3xT.2文件,并且和的8000端口建立连接,该域名解析地址正式上面出现的IP地址:

  抓包分析,看到服务器通过http协议向攻击者访问/slave的行为,并且下载了/static/qW3xT.2:

  在ddg*下载完成qW3xT.2文件后开始执行,并且很快CPU占用飙升,并且与一台服务器不停作交互:

  事情起因:同事解决服务器中挖矿病毒的过程可以看到,病毒的主要起因是利用了Linux预加载型恶意动态链接库的后门,关于Linux预加载的知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库的...博文来自:YoungCain的博客

  各位夜行者:rnrn 有没有感觉到最近的网络已经不在是平静了,但请把知道的安全防护及近期病毒和解决方法show出来,在我的网络里,好像有一个幽灵潜伏在邮件通信中,使得正常的邮件不能进行。rnnrn论坛

  特点1、课程是面授,课程中有大量交互,解决了你听课的时候的疑问。n特点2、课程中有大量实验,让难于理解的理论,用实验的形式帮你理解。n特点3、主讲老师为全国第一批网络规划设计师、第一批网络工程师经验丰富。n特点4、上课幽默风趣,学员评价就是像在追电视剧,带你轻松学习。n特点5、针对教材,听课后,看书就毫无压力。

  本次网络攻击是一种复合型网络攻击,由勒索病毒WannaCry、蠕虫病毒(永恒之蓝)、比特币(支付手段)共同组成。“永恒之蓝”是指NSA(美国国家安全局)泄露的危险漏洞“EternalBlue”,此次的...博文来自:baidu_38793638的博客

  美国国家安全局被泄漏的黑客工具,可以远程攻击全球约70%的Windows机器,紧急建议网民关闭135、137、445端口和3389远程登录,并注意更新安全产品进行防御。重点是XP、2003这种已经停止...博文来自:github_38500840的博客

  “永恒之蓝”勒索蠕虫涉及多个Windows系统服务的远程执行命令,恶意代码会扫描开放的445文件共享端口!只要开机的情况下,无需用户任何操作,就能控制你的电脑!SMB服务进行网络攻击的蠕虫病毒,简单的...博文来自:unary2018的博客

  向高手们请教:rnrn现在做好了一个网站,并且有一个全局的ip地址,也申请了一个域名:现在,将域名和ip绑定好了,已经可以通过域名访问网站,正常工作了。现在有如下问题需要请教高手们:rnrn1) 现在很多网站,虽然可以通过域名访问,但是,他们并没有合法的备案。我想问一下,这种网站的域名如何解析?是不是说,这种域名只需要给域名解析商付费就可以了。rnrn2) 自己买了一台电脑,做网站的服务器,并且ip、域名等工作都已经做好了,网站也能正常访问了。那么,web服务器主机的病毒防护工作应该怎么做?这个问题我一点概念都没有,请高手们指教!rnrnrn论坛

  我的2000操作系统中毒了,不上网好像没事,可是一上网inetinfo.exe 进程就马上占用了几乎100%的cpu。内存占用也有一定程度的上升,不过不是很明显。rn请问各路高手是中了什么病毒?论坛

  在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早...博文来自:weixin_41228949的博客

  昨天一台服务器发生挖矿病毒事件,现象是CPU干到100,内存剩余不多。废话不多说直接贴图,早上时间宝贵发现如上图一个诡异的IP直接使用lsof查找这个进程运行的文件在哪,给我拉出来打解决办法直接把进程...博文来自:如果说你每一步都细心的话,其实你的效率是很快的

  昨天配置了一天的AWS今天就中招了,心痛一批1.使用top命令可以明显的看到zigw进程,记下进程号2.需要知道的是       1 zigw目录一般在/etc/目录下 会有文件zigw gmdpr2...博文来自:素颜的博客

  四、挖矿恶意程序处理流程4.1异常问题定位4.1.1异常进程排查(1)top排查使用top命令直接动态排查可能异常进程,配合-c可以直接查找到异常进程的物理位置。1.#top-c(2)ps-ef排查#...博文来自:P1rate

  挖矿病毒xmrig一般在cpu比较闲的时候会触发,并且会占用cpu99%,造成本机资源极大浪费。在网上搜了半天,没有发现好的解决办法,否则就只能重装操作系统了。因为重装操作系统,损失太大,所以这里我想...博文来自:u012329294的专栏

  背景春节刚过,黑产团队就开始了新的一年的工作。21日晚上九点多,正准备回家享受快乐时光呢,钉钉就响了,客户应急来了,8台机器感染挖矿木马病毒。挖矿病毒这两年也处理了不少了,但是这次的应急受益匪浅,值得...博文来自:Fly_鹏程万里

  病毒事件介绍2019年2月21日Linux下DDG变种挖矿病毒在全国范围内大规模爆发,默安科技应急响应中心经过对样本分析发现,该病毒变种通过Redis未授权访问漏洞进行突破植入,然后使用本地密钥登录....博文来自:Fly_鹏程万里

  对于恶意软件(病毒,木马,rootkit等),微软为普通个人用户和企业用户提供了各种防护解决方案。您可以参考下表。操作系统个人用户企业用户备注WindowsVistaMicrosoftSecurity...博文来自:微软大中华区安全博客

  情况简述:  和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技——单纯地攻击电脑的软硬件——而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。 ...博文来自:独孤星燎

  qw3xt.6挖矿病毒解决心得简述病毒的sh脚本代码:中毒后的解决方法(如何杀毒)解决思路简述qw3xt.X(X是版本号)这是一个挖矿病毒,会利用服务器的空闲CPU使得服务器CPU使用率到达100%并...博文来自:Freeeeeeeedom

  前半个月出现的一次挖矿病毒,当时感觉处理了 ,过了两周不想又出现!!!恶心,郁闷总结几点:1.找到域名或者IP确认是不认识的,进行处理查看定时任务2.查看定时任务3.时刻注意/tmp文件下的文件夹和文...博文来自:的博客

  本人一个不专业的运维。如有问题可以一起讨论。今天登陆服务器发现qW3xT.2进程,以至于服务器CPU一直在300以上,写下此文以便查询。1.查看阿里云服务器日志,查看日志来源。从哪进来,修改那里的端口...博文来自:u010560993的博客

  1,cpu100%,用top查看cpu100 2,删掉此进程cpu还是100% 3,估计是进程被隐藏了 4,定时任务多了一个执行任务 5:打开连接博文来自:hgx的专栏

  背景打开了redis的外网端口,redis是由root用户启动,所以入侵者拿到了root权限,在批处理中加入了两个定时任务,每5秒钟去远程代理服务器(美国)获取脚本。分析查看cpu使用率较高的进程to...博文来自:yuwenlewhl的专栏

  一、问题现象朋友的阿里云LINUX服务器,发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。2t3ik_worm二、分析处理即然kill后过一会儿...博文来自:xiaoluyouyue的博客

  一.输入法原理: 输入法的ime文件实质是个dll文件,导出windows的imm输入法管理器调用的一些回调函数。 初始化: DllMain里注册窗口类 1.ImeInquir...博文来自:交易不看赚亏,只问对错

  考试的时候应该怎么想?知识点已经学到了。今天考的题,没有不是省选知识点以内的。现在已经到了四步走战略的第四步了,比起基础变换,灵活应用更讲求考试状态。没有考试状态,就用熟练度(做题量)来替代。这几天我...博文来自:myjs999的博客

  驱动挖矿病毒PuMiner来势汹汹 0x0背景大量内网主机存在挖矿行为,经过市面上主流杀毒软件查杀均未查杀出异常,后续分析发现主机挖矿特征明显采用为驱动加载配合代码注入的方式植入计算机具备较强的...博文来自:si1ence的博客

  以太坊介绍      以太坊(Ethereum)是一个建立在区块链技术之上,去中心化应用平台。它允许任何人在平台中建立和使用通过区块链技术运行的去中心化应用。 共识机制     区块链是一个去中心化的...博文来自:吴龙辉的博客

本文链接:http://kingstonflowers.net/dingshichasha/1080.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部