搜索
查看
编辑修改
首页
UNITY
NODEJS
PYTHON
AI
GIT
PHP
GO
CEF3
JAVA
HTML
CSS
搜索
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
jquery
HTML
CSS
PHP
ASP
PYTHON
GO
AI
C
C++
C#
PHOTOSHOP
UNITY
iOS
android
vue
xml
爬虫
SEO
LINUX
WINDOWS
JAVA
MFC
CEF3
CAD
NODEJS
GIT
Pyppeteer
article
热门文章
1
274.【华为OD机试】快递员的烦恼(Floyd-Warshall算法—Java&Python&C++&JS实现)_快递员的烦恼 python
2
Opencv | 基于ndarray的基本操作
3
单细胞分析(五)——使用Harmony进行数据整合和去批次_单细胞去批次
4
容器化技术-Docker_容器技术 docker
5
架构师核心-云计算&云上实战(云计算基础、云服务器ECS、云设施实战、云上高并发Web架构)
6
Python预测——多元线性回归_python多元线性回归预测
7
HDMI设计5--GT Transceiver的总体架构整理_gth 实现 hdmi
8
机器学习(4)--breastcancer随机森林网格搜索
9
Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来
10
基于SSM的公司员工管理系统(JSP+java+springmvc+mysql+MyBatis)
当前位置:
article
> 正文
应急响应-挖矿木马-典型处置案例_nrs minner
作者:很楠不爱3 | 2024-04-13 15:25:40
赞
踩
nrs minner
Windows服务器感染挖矿木马
事件背景
2018年11月,某集团内部服务器感染病毒。根据该集团提供的信息,VMwareNSX监控到大量的的异常445流量,服务器大量资源被占用,初步判断为感染挖矿木马。
事件处置
系统分析
现场对几台服务器进行排查,发现确实存在大量异常445连接,进程PID为56156,如图所示。
通过网络连接查看其相应的进程为svchost.exe系统进程,得知病毒是通过注入系统进程来运行的,如图所示。
使用病毒分析工具进行进程分析,发现病毒文件为 C:\Windows\System32\snmpstorsrv.dll,如图所示。
找到病毒样本文件后对其进行分析,发现此病毒为Nrs Miner挖矿蠕虫病毒,传播方法为利用“永恒之蓝”漏洞在网络内传播,传播端口为445端口。
部分主机由于可连接外服务器,因此病毒会生成TrustedHostex.exe恶意文件,如图所示。‘
该文件会对外部服务器发起请求,进行挖矿,如图所示。
应急响应工程师与系统运维人员沟通后,采用手工查杀的方法对服务器进行病毒查杀。
日志分析
应急响应工程师对收集的日志信息进行整理分析,发现最早被感染的主机为堡垒机应用服务器10.1.201.195,被感染时间为2018/11/16 17:48:18,如图所示。
根据被感染时间的连续性及源IP的连续性,可疑判断出201段服务器是被同一台主机感染的,如图所示。
通过堡垒机登录10.1.201.195服务器,收集服务器所有的日志信息,上传至奇安信观星实验室应急响应平台进行分析。对最近文件及浏览器浏览记录、USB使用记录、系统日志等信息进行排查,未发现异常文件或操作,因此排除人为投毒的可能性。
应急响应工程师与系统运维人员沟通后,发现在病毒传播之前VMwareESX策略失效了,未对445端口进行封堵,导致堡垒机应用服务器可能因其他终端或者物理服务器而感染Nrs挖矿蠕虫,同时造成内网主机大面积感染病毒。
问题总结
根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner挖矿蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。
事件抑制
隔离问题主机,断开网络连接,尽量关闭外部连接。
将135.139,445端口关闭,非业务端口进行封堵。
将主机密码全部更换为复杂度高的密码。
安装安全补丁,尤其是MS17-010漏洞的。
根除及恢复
终端安全企业级杀毒软件。
使用流量监控设备进行内网流量监控。
出口防火墙封堵挖矿地址和IP地址。
服务器安装“永恒之蓝”补丁。
开启防火墙策略,对135、137、138、139、445端口进行封堵。
及时更改系统用户密码,并使用 LastPass 等密码管理器对相关密码加密存储,避免使用本地明文文本的方法进行存储。系统相关用户杜绝使用弱密码,同时,使用高强度的复杂密码,采用大小写字母、数字、特殊符号混合的组合结构。加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改。
限制内网主机允许访问的网络及主机范围。有效加强访问控制策略,细化策略粒度,按区域、按业务严格限制各网络区域及服务器之间的访问,采用白名单机制,只允许开放特定的业务必要端口,其他端口一律禁止访问,仅允许管理员访问管理端口,如 FTP、数据库服务、远程桌面等端口。
配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在发生攻击时,无法对攻击途径、行为进行溯源,加强安全溯源能力。
遵循权限最小化原则,服务器中间件、数据库等相关系统服务使用较低用户权限运行,避免攻击者通过相关服务获取高用户权限,对系统实施进一步攻击,建议更改系统相关服务默认端口,以便防御固定化端口扫描探测、攻击等。
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的情况,应使用白名单的方法,在防火墙加入相关策略,对主动连接的 IP 地址范围进行限制,例如,放行反病毒更新服务器、数据库服务器,禁止服务器主动对其他内、外部服务器访问。
Linux服务器感染挖矿木马
事件背景
某公司在流量安全设备上发现存在挖矿木马告警,立即启动应急响应工作,对服务器进行排查,发现恶意入侵行为如下:
root用户存在5个用于定时启动挖矿程序的任务计划;
服务器/root/.bashtemp目录存放着多个木马本体及挖矿脚本;
系统日志在24日8时至17时存在日志断层,很可能被攻击者清除;
系统ssh服务于24日16时建立了信任关系,攻击者通过信任关系无需密码就可直接登录服务器。
事件处置
系统分析
netstat-antlp | more
通过检查系统网络连接,发现5个恶意进程,如图所示。
查看系统负载 top
使用top命令,可查看系统负载,发现多个挖矿进程,如图所示。
检查系统临时目录 stat up.txt
检查系统临时目录,发现存在保存用户密码的文本文件,如图所示。
系统ssh服务中存在非法信任关系,通过此信任关系,攻击者无需密码就可登录服务器。
root用户中存在多个恶意挖矿任务计划,如图所示,任务计划地址为/var/spool/cron/root/
通过追溯任务计划主体发现在/root/.bashtemp目录中存在着挖矿程序本体及脚本,如图所示。
日志分析
通过分析系统日志发现该服务器ssh服务对外开放,并收到大量外部ssh暴力破解,如图所示。
发现系统日志中存在断层,极有可能是因为攻击者清除日志,如图所示。
事件抑制
定位挖矿木马并查杀。
终端安装杀毒软件。
使用流量监控设备进行内网流量监控。
出口防火墙封堵挖矿地址和IP。
根除及恢复
系统相关用户杜绝使用弱密码,同时,应该使用高强度的复杂密码,采用大小写字母、数字、特殊符号混合的组合结构。加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改。
禁止服务器主动发起外部连接请求,对应需要向外部服务器推送共享数据的情况,应使用白名单的方法,在出口防火墙加入相关策略,对主动连接的IP地址范围进行限制。
有效加强访问控制策略,细化策略粒度,按区域、按业务严格限制各网络区域及服务器之间的访问,采用白名单机制,只允许开发特定的业务必要端口,其他端口一律禁止访问,仅允许管理员访问管理端口,如FTP、数据库服务、远程桌面等端口。
配置并开启相关关键系统、应用日志、对系统日志进行定期异地归档、备份,避免在发生攻击时,无法对攻击途径、行为进行溯源,加强安全溯源能力。
建议部署全流量监控设备,可及时发现未知攻击流量,以及加强攻击溯源能力,有效防止日志被轮询覆盖或被恶意清除,有效保障服务器沦陷后可进行攻击排查,分析原因。
定期开展系统、应用、网络层面的安全评估、渗透测试、代码审计工作,主动发现目前存在的安全隐患。
加强日常安全巡检制度,定期对系统配置、网络设备配置、安全日志及安全策略落实情况进行检查,常态化信息安全管理工作。
声明:
本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:
https://www.wpsshop.cn/w/很楠不爱3/article/detail/417148
推荐阅读
article
Es中
bool
查询中的四个(
must
must
_
not
should
filter
)
_
es
boo...
2.
must
_
not
:相当于
not
。1.
must
:相当于and。3.
should
:相当于or。4.
filter
:过...
赞
踩
article
java
~
jar
包防止被
反编译
_
jar
包
加密
防止
反编译
...
java
~
jar
包防止被
反编译
_
jar
包
加密
防止
反编译
jar
包
加密
防止
反编译
对于
jar
包,如果...
赞
踩
article
Vite2
+
Vue
3
学习笔记(四):引入
Vue
-
i18n
并实现
按钮
切换
页面
语言_
i18n
改变首页...
新手小白
Vue
3
学习笔记第四篇,在项目中使用
Vue
-
i18n
,实现
按钮
实时
切换
页面
及组件内部语言。_
i18n
改变首页i1...
赞
踩
article
RabbitMQ
集群搭建、镜像队列、实现高可用负载均衡、
Federation
Exchange、Fe...
1、环境准备IP地址 主机名 192.168.56.20 conch01 192.168.56.21 c...
赞
踩
article
vue初始化项目出现 npm ERR
fatal
unable
to
access
‘
http
sgi...
vue初始化项目出现npm ERR!
fatal
:
unable
to
access
‘
http
s://
git
hub.c...
赞
踩
article
UE4
FBX
静态
网格
物体
通道
_uv
通道
包含退化
的
三角形
...
分享一下我老师大神
的
人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也...
赞
踩
article
Jmeter
——
常用
的
几种
断言
方法(基本用法)
_
jmeter
断言
设置
...
在使用JMeter进行性能测试或者接口自动化测试工作中,经常会用到
的
一个功能,就是
断言
,
断言
相当于检查点,它是用来判断系...
赞
踩
article
在
Mac
上使用
Microsoft
Remote
Desktop
(MS_RDP)远程控制
Win10
电...
软硬件:操作平台:
Mac
OS电脑;使用软件:
Microsoft
Remote
Desktop
For
Mac
(MS_R...
赞
踩
article
pycharm
日志总是弹出“无法运行
Git
,
未
安装
Git
”_
pycharm
无法
安装
git
...
出现这个日志提示的原因是没有在
pycharm
里面配置
git
,如果你想让自己的代码进入
git
仓库
,
避免出现电脑问题突发事件...
赞
踩
article
textcnn
做多
分类
...
【代码】
textcnn
做多
分类
。
textcnn
做多
分类
text...
赞
踩
article
FPGA
-
以太网
UDP
通信
(三)...
至此,我们完成了IP层的发送与接受。同时,也已经了解了IP协议首部的具体内容,IP数据包就是紧跟在IP协议首部后面的。然...
赞
踩
article
OSTrack视频单
目标
跟踪
...
对于一个输入视频,只需在第一帧图像中用矩形框指定待
跟踪
目标
,单目
跟踪
算法将在整个视频帧中持续
跟踪
该
目标
,输出
跟踪
目标
在所...
赞
踩
article
渗透
必学神器
:
BurpSuite
教程
(超
详细
)...
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接...
赞
踩
article
jenkins
+
jmeter
+
ant
持续集成_
jmeter
+
ant
+
jenkins
...
jmeter
+
jenkins
持续集成_
jmeter
+
ant
+
jenkins
jmeter
+
ant
+
jenkins
...
赞
踩
article
北京高校
大学
数字
孪生
教学
实验室
,
虚拟
仿
真实
训系统中心,
数字
孪生
校园
场景
建设方案_使用ue搭建学校
场景
...
北京高校
大学
数字
孪生
教学
实验室
,
虚拟
仿
真实
训系统中心,
数字
孪生
校园
场景
建设方案_使用ue搭建学校
场景
使用ue搭建学校
场景
...
赞
踩
article
git
push出现
git
@
git
hub.com: Permission
denied
(publi...
git
push出现
git
@
git
hub.com: Permission
denied
(
publickey
)_perm...
赞
踩
article
整数
升序
排序
C
语言
_
升序
排列
c
语言
...
int main()int n, m;{int A[n];int B[m];i
升序
排列
c
语言
#...
赞
踩
article
4.5
.1
_
利用
getImageData
()与
putImageData
()
方法
来
实现
橡皮筋
式
选取
框
_
...
4.5
.1
_
利用
getImageData
()与
putImageData
()
方法
来
实现
橡皮筋
式
选取
框
_
改良版
利用
...
赞
踩
article
学
Python
常逛的
10
个
网站
,都总结在
这里
了_
python
代码
分享
网站
...
学
Python
常逛的
10
个
网站
,都总结在
这里
了_
python
代码
分享
网站
python
代码
分享
网站
...
赞
踩
article
YOLOv8
教程系列:五、
关闭
数据
增强
_
yolov8
关闭
数据
增强
...
YOLOv8
教程系列:五、
关闭
数据
增强
_
yolov8
关闭
数据
增强
yolov8
关闭
数据
增强
...
赞
踩
相关标签
elasticsearch
java
jar
spring
vue.js
前端
javascript
rabbitmq
elementui
jmeter
压力测试
测试工具
python
性能优化
自动化测试
测试工程师
macos
git
github
pycharm
分类
数据挖掘
人工智能
fpga开发