当前位置:   article > 正文

【应急响应篇】挖矿木马应急响应指南

【应急响应篇】挖矿木马应急响应指南

1.初步预判

判断是否真实遭遇挖矿木马

  1. 被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常运行等现象
  2. 查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令
  3. 挖矿木马会与矿池地址建立连接,看哈是否有外连,向远程ip的请求 netstart -ano 查看所有端口

挖矿木马信息挖掘

查看挖矿木马文件创建时间,查看任务计划创建时间,查看矿池地址,可通过安全监测类设备查看第一次连接矿池地址的时间

判断挖矿木马传播范围

可以利用安全监测类设备查看挖矿范围

了解网络部署环境

网络架构、主机数据、系统类型、相关安全设备(如流量设备、日志监测)等


2.隔离被感染的服务器/主机

在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/417122
推荐阅读
相关标签
  

闽ICP备14008679号