挖礦木馬

挖礦木馬一般通過(guò)查看當(dāng)前CPU運(yùn)行情況就能確認(rèn)，windows下任務(wù)管理器中就能看到，linux下使用top命令，查看到某個(gè)進(jìn)程持續(xù)保持在80%-90%以上的CPU，基本就是對(duì)應(yīng)的木馬進(jìn)程了。win下一般選中進(jìn)行右鍵打開(kāi)文件位置就能定位到對(duì)應(yīng)目錄

linux下使用ps -aux|grep “木馬進(jìn)程名” 即可找到對(duì)應(yīng)路徑和文件

定位到木馬后，需要對(duì)其進(jìn)行清除操作，挖礦木馬麻煩的就是系統(tǒng)駐留，windows推薦微軟的autoruns，個(gè)人認(rèn)為非常好用，免去了花里胡哨的看手動(dòng)查注冊(cè)表、手動(dòng)看啟動(dòng)項(xiàng)這些操作。

找到與挖礦進(jìn)程和木馬相關(guān)的 計(jì)劃任務(wù)、服務(wù)、WMI等，進(jìn)行清理即可。當(dāng)然此前肯定需要結(jié)束木馬進(jìn)程并刪除木馬文件，然后重啟后觀察是出現(xiàn)問(wèn)題。

linux下基本都是寫在定時(shí)任務(wù)中crontab -l命令或ls /var/spool/cron/查看有無(wú)可疑內(nèi)容。

找到木馬腳本后，將其一起進(jìn)行清理

對(duì)于木馬的溯源，根據(jù)日志的分析結(jié)果為主，如果僅開(kāi)放了web服務(wù)端口，根據(jù)時(shí)間定位范圍后進(jìn)行排查，如果開(kāi)放了其他端口，需要根據(jù)腳本創(chuàng)建時(shí)間去進(jìn)行排查，思路有限以能直接獲取系統(tǒng)權(quán)限的問(wèn)題為切入點(diǎn)，linux下例如管理軟件問(wèn)題ssh的弱口令，系統(tǒng)漏洞問(wèn)題redis未授權(quán)問(wèn)題，應(yīng)用層問(wèn)題中間件weblogic的rce這類。

windows下除了網(wǎng)站日志外以系統(tǒng)日志為主。

linux下日志較多，可以參考如下路徑進(jìn)行分析

路徑1：/var/log/messages：記錄 Linux 內(nèi)核消息及各種應(yīng)用程序的公共日志信息

路徑2：/var/log/cron：記錄 crond 計(jì)劃任務(wù)產(chǎn)生的事件信息

路徑3：/var/log/dmesg：記錄 Linux 操作系統(tǒng)在引導(dǎo)過(guò)程中的各種事件信息

路徑4：/var/log/maillog：記錄進(jìn)入或發(fā)出系統(tǒng)的電子郵件活動(dòng)

路徑5：/var/log/lastlog：記錄每個(gè)用戶最近的登錄事件

路徑6：/var/log/secure：記錄用戶認(rèn)證相關(guān)的安全事件信息

路徑7：/var/log/wtmp：記錄每個(gè)用戶登錄、注銷及系統(tǒng)啟動(dòng)和停機(jī)事件

路徑8：/var/log/btmp：記錄失敗的、錯(cuò)誤的登錄嘗試及驗(yàn)證事件

另外需要注意的是，挖礦和勒索往往都伴隨著蠕蟲(chóng)事件，此類我沒(méi)有單獨(dú)分類是因?yàn)楝F(xiàn)在這個(gè)時(shí)代幾乎已經(jīng)見(jiàn)不到單純的惡意搞破壞的蠕蟲(chóng)了（這里指我們?nèi)粘Ｋ芙佑|到的領(lǐng)域，不包括那些某國(guó)家集體停電這類事件），畢竟那些攻擊者都是以獲取利益為主，單純的破壞并不能得到任何好處。

在實(shí)際中也遇到過(guò)不少，在局域網(wǎng)內(nèi)大規(guī)模的出現(xiàn)藍(lán)屏和重啟的現(xiàn)象，到現(xiàn)場(chǎng)基本都是因?yàn)镸S17010的傳播導(dǎo)致的，當(dāng)然為了確認(rèn)，可以在受害主機(jī)上運(yùn)行uknow大佬寫的工具，能看到大量的匿名登錄失敗的請(qǐng)求，也可以在內(nèi)網(wǎng)中使用msf的auxiliary/scanner/smb/smb_ms17_010模塊進(jìn)行確認(rèn)，如存在攻擊成功后的后門，結(jié)果中會(huì)有相應(yīng)提示。

確認(rèn)后為客戶安裝對(duì)應(yīng)的補(bǔ)丁即可。