Window应急响应(四):挖矿病毒

0x00 前言随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风…

0x00序言 随之对数字货币的瘋狂猜想,开采病毒感染早已变成犯罪嫌疑人最经常的进攻之四。病毒感染宣传者可以应用个人计算机或服务器进行发掘。实际问题是电子计算机的Cpu利用率高,C盘能用室内空间忽然降低,电子计算机溫度上升,电扇噪声扩大。 0x01紧急状况 当你每天早晨重启服务器时,我发现了程序流程起动的速率比较慢。我开启资源管理器,发觉Cpu占有了近150%,服务器空间被比较严重占有。

0x02恶性事件剖析 登陆web服务器进行常见故障清除,发觉好几个出现异常系统进程:

剖析全过程主要参数: Wmic系统进程获得题目,命令行/值>> tmp.txt

TIPS: 在windows下查询某一运作程序流程(或系统进程)的命令行参数

应用下边的指令:

wmic process set caption,commandline /value

假如想查寻某1个系统进程的命令行参数,应用以下方法:

wmic process where caption=”svchost.exe” set caption,commandline /value

那样就可以获得系统进程的可执行文件部位等信息内容。 浏览连接: 

在Temp文件目录中寻找Carbon,run.bat发掘程序流程:

实际技术指标分析详情如下: 36oCERT:应用WebLogic系统漏洞发掘恶性事件剖析http://WWW.anquanke.Com/post/Id/92223 消除发掘病毒感染:关掉出现异常系统进程,删掉c盘temp文件目录下的发掘程序流程。 临时维护方案 依据实际上自然环境相对路径删掉WebLogic程序流程的下列war包和文件目录。 Rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war Rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war Rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_wL_internal/wls-wsat 重启WebLogic或系统软件后,请确定下列连接访问限制是不是为403 .com://x.x.x.x: 7001/wls-wsat 0x04常见问题 新的发掘进攻演试了相近蠕虫的个人行为,并融合了高級进攻技术性,以提升对于总体目标网络服务器的感柒通过率。根据应用EternalBlue,web进攻各种各样系统漏洞,如Tomcat弱口令进攻,Weblogic WLS部件系统漏洞,Jboss反序列化系统漏洞,Struts2远程命令实行等,造成很多网络服务器感柒了发掘程序流程。小结了几类防范措施: 1.安裝防护软件并升級病毒库,每季度扫描仪并维持即时维护

2.立即升级Windows安全更新,并开启服务器防火墙临时关闭端口

3,立即升级web漏洞补丁,升級web部件