记一次Mac挖矿病毒的处置 |
您所在的位置:网站首页 › 微信中了木马病毒怎么办 › 记一次Mac挖矿病毒的处置 |
title:记一次Mac挖矿病毒的处置
前言
网络安全圈一年一度的叉叉行动的前期准备过程中,在客户现场进行失陷主机监测和处置。通过态势感知发现某台终端主机有每五分钟向矿池(43.249.204.183:8888)发起一次连接请求的情况,态势报挖矿行为。 拿来机器到手,是台Mac。首先使用其本机上的“趋势大师查杀了一遍”,果然有结果: 首先使用top命令查看电脑的运行状态。未检查到有ssl3.plist、ssl4.plist字样的程序在运行。 (此处本应该有图,但是忘记截图拍照了) 由于态势报每五分钟一次请求、这里有没有相关进程,推测应该是没五分钟开启一次进程,那么久循环查看占用8888端口的进程: 删除病毒相关文件。kill掉进程。(此处本该有图,但是忘记了。) 一般情况下,开机启动项里面也应该会被注入相关病毒文件,查看开机启动项文件夹:~/Library/LaunchAgents,果然发现存在ssl3.plist、ssl4.plist字样文件(不好意思,又没图),删除掉相关文件。 继续监测病毒文件被删除了,进程被结束了。然后继续监测8888端口进程,都没有发现相关进程再启动了: 物归原主。 复盘 关于ssl3.plist、ssl4.plistssl3.plist、ssl4.plist 其实都是 xmr-stak-rx,xmr-stak 是一款集成了 CPU、GPU 挖矿的工具,由最初的 xmr-stak-cpu、xmr-stak-amd 和 xmr-stak-nvidia 三款集成而来,支持 64 位的 Windows、Linux 和 MacOS 系统。后面还出了 xmr-stak-rx,支持 RandomX 算法。 排查中用到的指令top //查看电脑运行状态 lsof -i:port //查看占用port端口的进程 ps aux | grep ssl //查找ssl字样的进程 参考文章:https://www.tr0y.wang/2020/03/05/MacOS%E7%9A%84ssl4.plist%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/ |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |