技术标签: Powered by 金山文档 网络安全
挖矿病毒特征:“挖矿”病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。
常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等
事件大概处置流程:
详细流程、操作命令
收到通知,第一时间告知客户做断网处理,对于明显外联域名的可设置防火墙策略限制。
了解现状:询问客户事件发生的时间,方便初步判断攻击范围和程度。
查看安全设备是否有相关告警日志;排查服务器,从以下几个方面入手: CPU高占用、可疑进程、计划任务、系统用户、开放的端口、服务项、内存空间。
CPU高占用:
Windows:直接通过任务管理器查看。
如果发现打开任务管理器,CPU一会就降下来了,这是挖矿病毒的一种保护机制,可以使用wmic方式查看使用率:wmic cpu get LoadPercentage /value
Linux:使用命令top
可疑进程:
Windows:查看所有运行的进程参数:wmic process get caption,commandline /value >> tmp.txt,
精确查找某个程序的进程参数:wmic process where caption="notepad.exe" get caption,commandline /value
如果可以上传工具,则使用processhacker、ProcessExplorer等进程分析工具
Linux:使用ps命令查看进程信息:ps -aux,定位CPU占比前十:ps -aux --sort=-%cpu|head -10
找到高CPU占用的进程后,使用ls命令即可定位程序实际路径:ls -la /proc/{进程pid}/exe
计划任务、服务项
Windows:在计算机管理-任务计划程序中查看,也可以使用schtasks命令查看计划任务列表。
Linux:使用crontab -l命令查看计划任务,直接查看/etc/crontab文件,也可在/var/log/cron下查看计划任务的日志。
Windows系统中使用:开始--运行--输入services.msc
Linux系统中使用:systemctl list-unit-files --type service |grep enabled
可疑用户:有的攻击者会创建用户,用来掌控服务器或者掩盖恶意行为。
Windows:在用户账户直接查看。需要注意的是攻击者创建影子账户可使管理员无法发现,可通过工具D盾等查看系统中是否存在影子账户。
Linux:查看用户信息命令 cat /etc/passwd,同时可以使用last查看近期用户或终端的登录情况。
系统日志
Windows系统日志
日志路径:C:\Windows\System32\winevt\Logs
必看日志:Security.evtx、System.evtx、Application.evtx
Linux系统日志
日志路径:/var/log
必看日志:secure、history
分析病毒样本
进程对应的样本打包加密,在分析平台上进行病毒分析。在快速的应急响应中,收集到的病毒样本在根据沙箱中分析,可以及时的确认样本类型和行为。
微步在线云沙箱 (threatbook.com)、The No More Ransom Project、
溯源分析
整合对系统的排查,对病毒的分析,结合系统日志或者安全设备日志,确定对攻击者的入侵时间、入侵方式、入侵目的、入侵范围以及入侵损害程度。
安全加固
对全网服务器进行一次扫描,以及进行一系列的安全加固,例如修复漏洞打补丁、修改强口令并且定期修改口令、关闭或修改高危端口如23、135、137-139、445、1433、3389等。
总结分析
下班!
文章浏览阅读811次。转为Android X 后报错 ,在gradle中引用的是 implementation 'com.jakewharton:butterknife:10.0.0' annotationProcessor 'com.jakewharton:butterknife-compiler:10.0.0'在使用 10.0 的版本的时候 , 需要添加android { compileOptions { sourceCompatibility..._java.lang.noclassdeffounderror: not a primitive type: 'l
文章浏览阅读495次。{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":7,"count":7}]},"card":[{"des":"提供基于开源Elasticsearch及商业版X-Pack插件,致力于数据分析、数据搜索等场景服务。在开源Elasticsearch基础上提供企业级权限管控、安..._os.system()函数如何不返回0
文章浏览阅读2.5k次,点赞2次,收藏9次。写作目的最近在学谱方法解偏微分方程,顺便学一下legendre多项式的一些推导,参考了北京大学蓝以中老师的《高等代数学习指南》,发博客以记之。Legendre多项式定义P0(x)=1Pk(x)=12kk!dk[(x2−1)k]dxk,k={1,2,⋯}(1){P_0}\left( x \right) = 1\newline{P_k}\left( x \right) = \frac{1}{{{2^k}k!}}\frac{{{d^k}\left[ {{{\left( {{x^2} - 1} \right)_lgr积分点
文章浏览阅读1w次,点赞2次,收藏21次。RNA-seq技术之转录组从头组装介绍转载2016-05-31 17:07:391.何为转录组组装 说起转录组组装,不得不先说新一代测序技术(next generation sequencing)。自从2005年454生命科学公司推出第一款二代测序仪器以来,二代测序技术飞速发展,Illumina和ABI公司先后推出各自的二代测序仪Genome Analyzer和SOLID..._tgicl
文章浏览阅读3.6k次。1.查看linux版本、内核、cpu、内存[root@localhost ~]# cat /etc/redhat-releaseCentOS Linux release 7.8.2003 (Core)[root@localhost ~]# [root@localhost ~]# uname -aLinux localhost.localdomain 3.10.0-1127.el7.x86_64 #1 SMP Tue Mar 31 23:36:51 UTC 2020 x86_64 x86_64 x8_the exception contained within mappablecontainerexception could not be mappe
文章浏览阅读1.9k次。stack是一种先进后出的数据结构。stack除了最顶端元素外,没有其他办法去读取其他元素,因此stack不存在遍历行为。所以stack没有迭代器。stack容器适配器的创建由于 stack 适配器以模板类 stack<T,Container=deque>(其中 T 为存储元素的类型,Container 表示底层容器的类型)的形式位于头文件中,并定义在 std 命名空间里。stack<int> values;上面这行代码,就成功创建了一个可存储 int 类型元素_stack没有成员back
文章浏览阅读571次,点赞5次,收藏4次。就最近和各位大佬认识下来,以前觉得学习go语言,可能资料比较少,可是后来才发现,原来资料并不少,甚至可以说通过大家的努力,go社区已经非常包容且完善了接下来会推荐一些资料,以及大佬社区微软go语言中文网Gopher China golang中国LearnKu自建博客:boyacch码农桃花源七月天面向信仰编程less is betterPure White煎鱼mzh鸟窝峰云就她了luozhiyun`s BlogVincent Blanchon地鼠导航go夜读g_七米 golang
文章浏览阅读1.7w次。时间:2016-08-30作者:admin 阅读:次-c: 建立压缩档案-x:解压-t:查看内容-r:向压缩归档文件末尾追加文件-u:更新原压缩包中的文件这五个是独立的命令,压缩解压都要用到其中一个,可以和别的命令连用但只能用其中一个。下面的参数是根据需要在压缩或解压档案时可选的。下面的参数-f 是必须的-f: 使用档案名字,切记,这个参数是最后一个参数,后面只能接档案名。# tar -cf..._tar怎么解压zip文件
文章浏览阅读184次。今天小编给大家带来一个优秀妹子的后台面试经验总结,希望对正在面试或者以后需要面试的人提供一些参考和帮助。具体如下:本人妹子,985 硕士,211 本科,专业都是软件工程,一直投的是 Java 后台开发,只投过一次网易的测试,技术不是大牛,但是比较努力。实验室没有项目,so 项目经验是 0,在去年这个时候看到实验室师兄找工作的艰难,因此开始复习的时间比较早。最开始先看的 java 基础,看的马某某的视频,后面就看框架视频,后来也看过某某学院的视频,都是在网上找的免费的。..._双非女后端大厂面经
文章浏览阅读593次。 具体代码是:int charTowchar(char* pSrc, wchar_t* pDest){ if (pSrc == NULL || pDest == NULL) { return 0; } setlocale(LC_CTYPE, "zh_CN.utf8"); int w_size = mbstowcs(NULL, pSrc, 0) + 1; //w_size=0说明出错了。可能有非法字符,也可能是locale设置不对。_char 转换成 wchar_t
文章浏览阅读3.6k次,点赞6次,收藏6次。本篇摘自胖哥最新的基于Spring Security 5.6.x的《Spring Security干货》教程。旧版的教程将在2022年1月1日下线,请需要的同学尽快通过本公众号回复“202..._configurer.addobjectpostprocessor
文章浏览阅读1w次,点赞3次,收藏6次。// 原文:https://blog.csdn.net/u011106915/article/details/76066985public class IDUtils { public static boolean isIDNumber(String IDNumber) { if (IDNumber == null || "".equals(IDNumber)) { return false; } // 定义判别用户身份证号的..._java校验身份证号的正则表达式