日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

近日，亞信安全網絡威脅服務部收到用戶求助，其網內多臺linux及windows機器出現CPU飆高現象，接到求助，安全專家第一時間聯系用戶，為用戶進行遠程排查，最終揪出了挖礦木馬元兇，因該挖礦木馬通過757端口爆破，因此我們將其命名為“757”挖礦。

針對該挖礦病毒，我們給用戶提供了一套完整的解決方案，解決了用戶的燃眉之急，得到用戶好評。

757挖礦家族介紹

757挖礦家族在23年逐漸流行起來，其是雙平臺挖礦的代表，不僅攻擊Linux平臺，還會攻擊Windows平臺。Linux版本會利用SSH橫向爆破傳播，若內網中存在未清理的機器，在未更改密碼的情況下會出現反復感染現象。

Windows版本則使用了名為r77的Ring3 Rootkit工具，對文件、目錄、連接、命名管道、計劃任務、進程、注冊表鍵值、服務、TCP&UDP連接等進行內核隱藏，用來躲避檢測和查殺。

757挖礦病毒分析（基于Linux平臺）

如何判斷感染了757挖礦病毒？

1. top命令查看，是否存在高占用進程（若沒有可能被隱藏，不代表不存在）；
2. 通?.NETstat -avpeW 命令查看是否存在外聯行為，如果有可以關聯到進程號PID和外聯IP和端口。 如圖所示，5[.]133[.]65[.]53:14444是外聯的IP和端口；
3. 查看是否存在可疑或已知惡意的定時任務等自啟動項。

手動清理步驟

更改弱密碼為強密碼后再執行以下清理操作，如果已經感染的機器較多，網絡威脅服務部可以提供清理腳本對挖礦病毒進行清理。

• 刪除計劃任務，包括但不限于如下關聯計劃任務；

• 修改命令crontab -e 以及 vim /var/spool/cron/root；
• 若有如下文件，請刪除；

• 刪除如下文件目錄

• 修改/etc/ld.so.preload 中的內容，刪除前面的so引用；查看 root/.ssh/authorized_keys 文件（此步驟建議先對這兩個文件進行拷貝備份后再進行操作，出現問題后可以還原）；
• 若不便重啟，請結束如下進程；

• 防火墻中可屏蔽如下IP或URL。

757挖礦病毒分析（基于Windows平臺）

如何判斷感染了757挖礦病毒？

通過分析ATTK日志，看到有名稱為$77svc32和$77svc64的可疑計劃任務，并且命令關鍵字符經過編碼混淆，用來繞過檢測。

解碼后內容如下：

1. 根據該特征分析，可以確認是使用了名為r77的Ring3 Rootkit工具，可以對文件、目錄、連接、命名管道、計劃任務、進程、注冊表鍵值、服務、TCP&UDP連接等實體進行隱藏。 挖礦程序、橫向擴散等模塊也都被r77工具隱藏。
2. 病毒創建了可疑賬戶： adm、adm$，并且在該賬戶的桌面目錄下，存在各種攻擊利用、掃描工具、挖礦程序以及msi病毒程序安裝包。
3. 由$77為前綴的隱藏程序來執行病毒程序： $77_Loader.exe、$77_oracle.exe等。

手動清理步驟

• 使用r77 rootkit uninstall卸載工具，可卸載寫入的計劃任務和注冊表項，解除rootkit隱藏效果；
• 結束注入的惡意進程$77_ExecuteOracle.exe、$77_Oracle.exe;
• 刪除如下惡意文件、目錄；

• 刪除$77ExecuteOracle服務；
• 刪除adm和adm$賬戶，以及adm目錄下和對應Desktop目錄下的各種惡意文件。

Linux平臺與Windows平臺757挖礦病毒對比分析

亞信安全解決方案

亞信安全云病毒碼版本18.421.71，傳統病毒碼版本18.421.60和全球碼版本18.421.00可以查殺本案例中涉及的病毒文件：

安全建議

• 優化服務器配置并及時更新。開啟服務器防火墻，服務只開放業務端口，關閉所有不需要的高危端口，關閉服務器不需要的系統服務、默認共享。及時給服務器、操作系統、網絡安全設備、常用軟件安裝最新的安全補丁，及時更新 Web 漏洞補丁、升級Web組件，防止漏洞被利用，抵御已知病毒的攻擊。
• 強口令代替弱密碼。設置高復雜度密碼，并定期更換，多臺主機不使用同一密碼。設置服務器登錄密碼強度和登錄次數限制。在服務器配置登錄失敗處理功能，配置并啟用結束會話、限制非法登錄次數和當登錄次數鏈接超時自動退出等相關防范措施。
• 增強安全意識。加強所有相關人員的信息安全培訓，提高信息安全意識，不隨意點擊來源不明的郵件、文檔、鏈接，不要訪問可能攜帶病毒的非法網站。若在內部使用U盤，需要先進行病毒掃描查殺，確定無病毒后再完全打開使用。