Kali 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 541|回复: 4

[求助] 公司内网Linux服务器中了挖矿病毒,该如何分析并清除

[复制链接]
发表于 2019-1-16 21:46:03 | 显示全部楼层 |阅读模式
求助:
在我们的局域网中其中一台Linux服务器,IP:192.168.34.x,能ping通外网。前两天登录这个服务器,发现/var/log莫名其妙的被人删除了。继续追查了一下,发现是中了挖矿病毒。虽然及时清理掉了,但是我们局域网中其他机器也有这个病毒;在修改了这台服务器的密码后,发现了大量的ARP攻击日志,攻击源也是我们一台服务器(Windows)。但是登录上去后,没发现什么可疑的进程。求助各位大神:1. 病毒是如何通过了我们公司的路由器、防火墙,进入内网的呢?2. 有没有办法查出源头在哪呢?源头即第一台中毒的机器。【说明:这是我们内网第三次中这个病毒了。】
+1
545°C
4
  • 这是谁家猪
  • adminisss
  • 这是谁家猪
  • TTZZ
过: 他们
 楼主| 发表于 2019-1-16 22:31:48 | 显示全部楼层
大神大神快来看看啊
回复 支持 反对

使用道具 举报

发表于 2019-1-18 10:28:12 | 显示全部楼层
ARP 攻击,?应该是内网有机器中招了!ARP攻击是低门槛攻击,路由器设置了防ARP攻击了吗? IP跟MAC地址绑定!DMZ 设置了吗?如果公司条件允许的话,你可以把局域网各个工位,设置成互相ping 不通!至于挖矿病毒,如果可以 上报公司,直接报警吧!
我也不太懂,我的个人之见,估计还没你有知识!
如果没有帮到你,请你嘴下留情,别嘲笑我!我水平有限!
弱弱的问一句什么公司啊?还用服务器?现在不都是托管给 阿里 腾讯,华为了吗?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-1-19 04:34:48 | 显示全部楼层
adminisss 发表于 2019-1-18 10:28
ARP 攻击,?应该是内网有机器中招了!ARP攻击是低门槛攻击,路由器设置了防ARP攻击了吗? IP跟MAC地址绑定 ...

我们做存储的,用的自己的服务器。挖矿病毒我查出来后通知信息化部门和我们部门,告诉同事手动清除方法了。但是清除后,发现还是有机器在大量尝试ssh登录,而且有ARP攻击。不知道源头在哪里.当时也查了发起ARP的机器了,但是上面也没发现啥可疑进程。现在难的是不知道病毒是怎么绕过公司防火墙进来的。
回复 支持 反对

使用道具 举报

发表于 2019-1-22 23:04:32 | 显示全部楼层
是不是有人使用过带病毒的软件,造成那台电脑被开了后门?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

Kali linux ( 蜀ICP备10027298号-4 ) Topics |


免责声明:
Kali linux中文网所发布的一切教程文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。

GMT+8, 2019-2-19 11:14 , Processed in 0.224460 second(s), 22 queries , Gzip On.

Powered by Discuz!

© 2009-2016 KALI

快速回复 返回顶部 返回列表