挖礦木馬

挖礦木馬一般通過查看當(dāng)前CPU運行情況就能確認(rèn)，windows下任務(wù)管理器中就能看到，linux下使用top命令，查看到某個進(jìn)程持續(xù)保持在80%-90%以上的CPU，基本就是對應(yīng)的木馬進(jìn)程了。win下一般選中進(jìn)行右鍵打開文件位置就能定位到對應(yīng)目錄

linux下使用ps -aux|grep “木馬進(jìn)程名” 即可找到對應(yīng)路徑和文件

定位到木馬后，需要對其進(jìn)行清除操作，挖礦木馬麻煩的就是系統(tǒng)駐留，windows推薦微軟的autoruns，個人認(rèn)為非常好用，免去了花里胡哨的看手動查注冊表、手動看啟動項這些操作。

找到與挖礦進(jìn)程和木馬相關(guān)的 計劃任務(wù)、服務(wù)、WMI等，進(jìn)行清理即可。當(dāng)然此前肯定需要結(jié)束木馬進(jìn)程并刪除木馬文件，然后重啟后觀察是出現(xiàn)問題。

linux下基本都是寫在定時任務(wù)中crontab -l命令或ls /var/spool/cron/查看有無可疑內(nèi)容。

找到木馬腳本后，將其一起進(jìn)行清理

對于木馬的溯源，根據(jù)日志的分析結(jié)果為主，如果僅開放了web服務(wù)端口，根據(jù)時間定位范圍后進(jìn)行排查，如果開放了其他端口，需要根據(jù)腳本創(chuàng)建時間去進(jìn)行排查，思路有限以能直接獲取系統(tǒng)權(quán)限的問題為切入點，linux下例如管理軟件問題ssh的弱口令，系統(tǒng)漏洞問題redis未授權(quán)問題，應(yīng)用層問題中間件weblogic的rce這類。

windows下除了網(wǎng)站日志外以系統(tǒng)日志為主。

linux下日志較多，可以參考如下路徑進(jìn)行分析

路徑1：/var/log/messages：記錄 Linux 內(nèi)核消息及各種應(yīng)用程序的公共日志信息

路徑2：/var/log/cron：記錄 crond 計劃任務(wù)產(chǎn)生的事件信息

路徑3：/var/log/dmesg：記錄 Linux 操作系統(tǒng)在引導(dǎo)過程中的各種事件信息

路徑4：/var/log/maillog：記錄進(jìn)入或發(fā)出系統(tǒng)的電子郵件活動

路徑5：/var/log/lastlog：記錄每個用戶最近的登錄事件

路徑6：/var/log/secure：記錄用戶認(rèn)證相關(guān)的安全事件信息

路徑7：/var/log/wtmp：記錄每個用戶登錄、注銷及系統(tǒng)啟動和停機(jī)事件

路徑8：/var/log/btmp：記錄失敗的、錯誤的登錄嘗試及驗證事件

另外需要注意的是，挖礦和勒索往往都伴隨著蠕蟲事件，此類我沒有單獨分類是因為現(xiàn)在這個時代幾乎已經(jīng)見不到單純的惡意搞破壞的蠕蟲了（這里指我們?nèi)粘Ｋ芙佑|到的領(lǐng)域，不包括那些某國家集體停電這類事件），畢竟那些攻擊者都是以獲取利益為主，單純的破壞并不能得到任何好處。

在實際中也遇到過不少，在局域網(wǎng)內(nèi)大規(guī)模的出現(xiàn)藍(lán)屏和重啟的現(xiàn)象，到現(xiàn)場基本都是因為MS17010的傳播導(dǎo)致的，當(dāng)然為了確認(rèn)，可以在受害主機(jī)上運行uknow大佬寫的工具，能看到大量的匿名登錄失敗的請求，也可以在內(nèi)網(wǎng)中使用msf的auxiliary/scanner/smb/smb_ms17_010模塊進(jìn)行確認(rèn)，如存在攻擊成功后的后門，結(jié)果中會有相應(yīng)提示。

確認(rèn)后為客戶安裝對應(yīng)的補丁即可。