GNU/Linux >> Znalost Linux >  >> Linux

Zkoumání kompromitace kryptoměnového malwaru na serveru Windows

Tento článek nám pomůže identifikovat možné případy malwaru pro kryptoměny.

Příznaky

Toto jsou některé z příznaků, které může váš server vykazovat v případě krypto malwaru:

  1. Server běží pomalu.
  2. Vysoké využití procesoru.
  3. Vysoké využití GPU.
  4. Vysoká šířka pásma používá A síťová připojení k neobvyklým koncovým bodům

Kontrola CPU/GPU a adresářů.

  1. Zkontrolujte stav svého CPU/GPU, kryptoměna obvykle využívá CPU i GPU na 100 % kapacity.
  2. V „C:\Windows\system32“ zkontrolujte nedávno vytvořené soubory „.dll“.
  3. Na vlastnostech těchto souborů si všimnete, že „původní název souboru“ byl test.dll

Kontrola služeb a plánovače úloh

  1. Můžeme spustit „services.msc“, abychom viděli aktivní služby v našem systému.
  2. Vyhledejte služby, které nemají popis.
  3. Po otevření našeho Plánovače úloh můžeme vidět úlohy, které mají být spuštěny v určitou dobu, abychom zajistili, že adwarové komponenty budou vždy přítomny.
  4. Všimnete si, že Autorem úlohy je skupina administrátorů serverů nebo SYSTÉM.

Kontrola připojení portů.

  1. Pomocí netstat nebo procexp můžeme zkontrolovat, ke kterým procesům jsme připojeni.
  2. Musíme dávat pozor na následující porty, protože je používá kryptoměnový malware:14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 8765, 876, 87656 , 8899, 9999

Kontrola využití šířky pásma

Častým příznakem je vysoké trvalé neočekávané využití šířky pásma. Vzhledem k tomu, že útočníci obvykle kompromitují systémy, které na nich zamýšlejí provozovat síťovou službu, v systému může být spuštěna služba, takže naslouchání lichému portu může znamenat kompromitovaný server.

  • Chcete-li zkontrolovat síťová připojení pro TCP, spusťte v PowerShell následující příkaz:

    NetStat -naop 'TCP'

  • Chcete-li zkontrolovat síťová připojení pro UDP, spusťte následující příkaz:

    NetStat** -naop 'UDP'

  • Chcete-li spočítat konkrétní připojení, spusťte jeden z následujících příkazů:

    NetStat** -naop 'TCP'
find /c ":<port>"

POZNÁMKA: Sysinternal TCP view nabízí alternativní grafické nástroje pro tuto recenzi.

Tento druh malwaru je velmi obtížné najít, protože bere kořenovou konfiguraci, jako by to byl uživatel admin, a procesy berou soubory nebo adresáře, které používá operační systém.

Dobrým doporučením, jak tomu zabránit, je zablokovat připojení portů ke známým těžebním fondům, jak je uvedeno v tomto článku, udržovat náš antimalwarový software aktuální a používat pro aplikace whitelist. druh příznaků na vašem systému se obraťte na technickou podporu, protože by to mohlo ohrozit jak zákazníka, tak infrastrukturu rackspace.

Pokud se chcete dozvědět konkrétnější informace o kryptoměnovém malwaru, můžete se podívat na tento článek:Detekce těžby kryptoměn ve firemním prostředí

Další informace naleznete v následujících zdrojích:

  • Prozkoumejte kompromitovaný server Windows – Rackspace
  • Dokumentace pro Sysinternals – Microsoft
  • Živý odkaz na nástroje sysinternal – SysInternals
  • Sophos AntiRootkit – Sophos
  • Detekce těžby kryptoměn ve firemním prostředí – SansOrg

Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.


Linux

  1. Jak nainstalovat .NET 3.5 v systému Windows Server 2012 R2

  2. Přidání IP adresy na Windows Server

  3. Povolení TLS 1.2 na Windows Server

  1. DotNetPanel Windows Hosting

  2. Windows Server 2012 v plné kráse

  3. Odstraňování problémů s nefunkčním cloudovým serverem Windows

  1. Zkontrolujte dostupnost systému Windows Server

  2. Nainstalujte službu IIS v systému Windows 2012

  3. Nainstalujte Nginx na Windows