第164天：应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解：异常特征，处置流程，分析报告等
主要需了解：日志存储，Webshell检测，分析思路等
掌握：
中间件日志存储，日志格式内容介绍（IP,UA头,访问方法,请求文件,状态码等）
Webshell查杀（常规后门，内存马（单独还有））
分析思路：基于时间，基于漏洞，基于后门筛选（还有）

#内容点：
应急响应：
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制：
威胁情报，信息库追踪，设备反制，IDS&IPS等反制，工具漏洞反制，蜜罐钓鱼反制等

#威胁情报相关平台：
Virustotal
深信服威胁情报中⼼
微步在线
venuseye
安恒威胁情报中⼼
360威胁情报中⼼
绿盟威胁情报中⼼
AlienVault
RedQueen安全智能服务平台
IBM X-Force Exchange
ThreatMiner

演示案例：

1、挖矿样本-Win&Linux-危害&定性

2、Linux-Web安全漏洞导致挖矿事件

3、Windows-系统口令爆破导致挖矿事件

4、Linux-个人真实服务器被植入挖矿分析

#挖矿样本-Win&Linux-危害&定性
危害：CPU拉满，网络阻塞，服务器卡顿等
定性：威胁情报平台上传解析分析，文件配置查看等

#Linux-Web安全漏洞导致挖矿事件
某公司运维人员小李近期发现，通过搜索引擎访问该公司网站会自动跳转到恶意网站（博彩网站），但是直接输入域名访问该公司网站，则不会出现跳转问题，而且服务器CPU的使用率异常高，运维人员认为该公司服务器可能被黑客入侵了，现小李向XX安全公司求助，解决网站跳转问题。
排查：挖矿程序-植入定时任务
排查：Web程序-JAVA_Struts2漏洞

#Windows-系统口令爆破导致挖矿事件
某天客户反馈：服务器疑似被入侵，风扇噪声很大，实验室因耗电量太大经常跳闸，服务器疑似被挖矿。
排查：挖矿程序-植入计划任务
排查：登录爆破-服务器口令安全

#Linux-个人真实服务器被植入挖矿分析
挖矿程序定位定性，时间分析，排查安全漏洞，攻击IP找到等

总结

挖矿病毒的背景一般是CPU、GPU占用很高，服务器耗电量很大

我们上来首先做的是看CPU、GPU占用率，定位占用率很高的进程找到挖矿病毒样本，将病毒样本放到微步在线上分析

由于挖矿病毒通常会做权限维持，单纯删除病毒文件无法根治，还是会重新生成

所以要继续排查计划任务、启动项、映像劫持等，删除干净后，杀死进程并删除病毒文件即可

由于黑客能上传挖矿病毒，那必定是拿到了服务器权限的，所以重点还需要知道黑客是如何进来的
（比如黑客通过ssh弱口令爆破拿到的服务器，那么我们如何知道呢？）
由于已经定位到了病毒样本，通过其修改时间可以得知攻击的大致时间范围，比如在Windows我们可以查看这个时间范围的日志，
在安全日志里发现这个时间范围内，有大量的外网IP尝试进行登录，那么基本就可以知道黑客是通过ssh弱口令爆破拿到的服务器。