实战某高校的一次挖矿病毒的应急处置

字数 1737 2025-08-12 11:34:35

挖矿病毒应急处置实战教学文档

1. 事件背景

某高校网络环境中发现三台服务器被植入DTStealer蠕虫病毒，该病毒利用历史漏洞针对Windows、Linux主机进行入侵感染，入侵成功后不仅会下载挖矿文件进行挖矿，还会释放传播模块继续入侵感染内网其他终端。

2. 信息收集阶段

2.1 信息收集表

受影响主机数量：3台
操作系统类型：Windows Server 2012 R2（确认其中一台）
网络拓扑：部分服务器走单独网线直接出外网，未经任何安全防护设备
病毒类型：DTStealer蠕虫病毒（疑似"柠檬鸭"驱动人生变种）

3. 现场排查与处置

3.1 异常现象确认

服务器访问矿池
进行内网横向渗透
存在powershell恶意脚本
存在挖矿程序（xmrig变种）

3.2 具体处置步骤

3.2.1 初始访问

物理接触服务器（因无法远程连接）
使用PE系统重置管理员密码（获得授权后）

3.2.2 网络状态检查

netstat -ano

发现异常：

开放443/80端口（业务端口）
对内网进行扫描的连接
连接公网矿池地址

3.2.3 进程分析

tasklist

发现：

随机命名的powershell进程
8991d9.exe挖矿程序

3.2.4 文件定位

使用Everything工具搜索发现：

病毒主程序位于Windows/temp目录
目录下包含多个tmp临时文件和日志

3.2.5 病毒清除

结束恶意进程
删除temp目录下所有文件
使用火绒文件粉碎功能处理顽固文件
安装火绒安全软件进行全面查杀
将矿池地址加入防火墙黑名单

3.2.6 后处置检查

检查以下项目：

powershell执行历史
启动项
计划任务
服务
网络状态
影子用户
观察1小时确认无异常连接

4. 溯源分析

4.1 攻击入口点

发现和信下一代云桌面系统存在：

超级弱密码问题
2017年后未升级，存在历史漏洞：
- 文件上传漏洞
- CNVD-2021-58587漏洞

4.2 攻击时间线

系统日志显示近期有非授权admin登录
病毒文件最早可追溯至2018年

5. 病毒特征分析

5.1 DTStealer蠕虫病毒特征

利用历史漏洞传播
针对Windows和Linux系统
下载挖矿文件（xmrig变种）
释放传播模块进行内网感染
使用powershell反射式加载

5.2 "柠檬鸭"驱动人生变种特征

使用powershell脚本进行无文件挖矿
存在条件竞争机制（进程反复重启）
使用putty等工具进行持久化

6. 安全威胁总结

6.1 安全意识问题

内网安全重视不足
内网主机存在弱口令
老旧系统未及时更新

6.2 终端安全问题

缺乏统一杀毒软件管理
未及时更新系统补丁
缺乏内网漏洞扫描能力

7. 安全加固建议

7.1 系统加固措施

账号安全

密码策略：
- 最小长度8字符
- 包含数字、大小写字母和特殊字符
账号管理：
- 禁用Guest账号
- 删除无用账号
- 禁用默认administrator账号
登录策略：
- 5次失败登录后封锁30分钟

系统安全

补丁管理：
- 安装最新Hotfix补丁（测试兼容性后）
远程访问：
- 设置15分钟不活动自动断开
服务安全：
- 禁用TCP/IP上的NetBIOS
- 关闭UDP 137/138和TCP 139端口
共享设置：
- 关闭默认共享（C$, D$等）

网站安全

禁用弱密码
限制登录失败次数
及时更新版本
部署WAF

7.2 产品加固建议

部署统一终端安全管理（EDR）
部署内网安全监控系统
部署漏洞扫描设备
部署边界防护设备

8. 应急处置经验总结

物理隔离是最后手段（当无法远程连接时）
病毒常驻位置检查：
- temp/tmp目录
- 计划任务
- 服务
- 启动项
顽固病毒处理：
- 使用文件粉碎功能
- 检查条件竞争机制
溯源要结合：
- 系统日志
- 文件创建时间
- 网络连接记录
报告要包含：
- 事件描述
- 处置过程
- 根因分析
- 加固建议

9. 附录：常用命令参考

# 网络连接检查
netstat -ano

# 进程查看
tasklist

# 进程终止
taskkill /F /PID <pid>

# 计划任务查看
schtasks

# 服务查看
sc query

10. 推荐工具清单

系统工具：
- PE启动盘（密码重置）
- Everything（文件搜索）
安全软件：
- 火绒安全（查杀+文件粉碎）
- 微步在线（威胁情报查询）
分析工具：
- Process Monitor
- Wireshark
- Sysinternals Suite

挖矿病毒应急处置实战教学文档 1. 事件背景某高校网络环境中发现三台服务器被植入DTStealer蠕虫病毒，该病毒利用历史漏洞针对Windows、Linux主机进行入侵感染，入侵成功后不仅会下载挖矿文件进行挖矿，还会释放传播模块继续入侵感染内网其他终端。 2. 信息收集阶段 2.1 信息收集表受影响主机数量：3台操作系统类型：Windows Server 2012 R2（确认其中一台）网络拓扑：部分服务器走单独网线直接出外网，未经任何安全防护设备病毒类型：DTStealer蠕虫病毒（疑似"柠檬鸭"驱动人生变种） 3. 现场排查与处置 3.1 异常现象确认服务器访问矿池进行内网横向渗透存在powershell恶意脚本存在挖矿程序（xmrig变种） 3.2 具体处置步骤 3.2.1 初始访问物理接触服务器（因无法远程连接）使用PE系统重置管理员密码（获得授权后） 3.2.2 网络状态检查发现异常：开放443/80端口（业务端口）对内网进行扫描的连接连接公网矿池地址 3.2.3 进程分析发现：随机命名的powershell进程 8991d9.exe挖矿程序 3.2.4 文件定位使用Everything工具搜索发现：病毒主程序位于Windows/temp目录目录下包含多个tmp临时文件和日志 3.2.5 病毒清除结束恶意进程删除temp目录下所有文件使用火绒文件粉碎功能处理顽固文件安装火绒安全软件进行全面查杀将矿池地址加入防火墙黑名单 3.2.6 后处置检查检查以下项目： powershell执行历史启动项计划任务服务网络状态影子用户观察1小时确认无异常连接 4. 溯源分析 4.1 攻击入口点发现和信下一代云桌面系统存在：超级弱密码问题 2017年后未升级，存在历史漏洞：文件上传漏洞 CNVD-2021-58587漏洞 4.2 攻击时间线系统日志显示近期有非授权admin登录病毒文件最早可追溯至2018年 5. 病毒特征分析 5.1 DTStealer蠕虫病毒特征利用历史漏洞传播针对Windows和Linux系统下载挖矿文件（xmrig变种）释放传播模块进行内网感染使用powershell反射式加载 5.2 "柠檬鸭"驱动人生变种特征使用powershell脚本进行无文件挖矿存在条件竞争机制（进程反复重启）使用putty等工具进行持久化 6. 安全威胁总结 6.1 安全意识问题内网安全重视不足内网主机存在弱口令老旧系统未及时更新 6.2 终端安全问题缺乏统一杀毒软件管理未及时更新系统补丁缺乏内网漏洞扫描能力 7. 安全加固建议 7.1 系统加固措施账号安全密码策略：最小长度8字符包含数字、大小写字母和特殊字符账号管理：禁用Guest账号删除无用账号禁用默认administrator账号登录策略： 5次失败登录后封锁30分钟系统安全补丁管理：安装最新Hotfix补丁（测试兼容性后）远程访问：设置15分钟不活动自动断开服务安全：禁用TCP/IP上的NetBIOS 关闭UDP 137/138和TCP 139端口共享设置：关闭默认共享（C$, D$等）网站安全禁用弱密码限制登录失败次数及时更新版本部署WAF 7.2 产品加固建议部署统一终端安全管理（EDR）部署内网安全监控系统部署漏洞扫描设备部署边界防护设备 8. 应急处置经验总结物理隔离是最后手段（当无法远程连接时）病毒常驻位置检查： temp/tmp目录计划任务服务启动项顽固病毒处理：使用文件粉碎功能检查条件竞争机制溯源要结合：系统日志文件创建时间网络连接记录报告要包含：事件描述处置过程根因分析加固建议 9. 附录：常用命令参考 10. 推荐工具清单系统工具： PE启动盘（密码重置） Everything（文件搜索）安全软件：火绒安全（查杀+文件粉碎）微步在线（威胁情报查询）分析工具： Process Monitor Wireshark Sysinternals Suite