GNU/Linux >> Belajar Linux >  >> Linux

Menyelidiki Kompromi Malware Cryptocurrency di Server Windows

Artikel ini akan membantu kami mengidentifikasi kemungkinan contoh malware cryptocurrency.

Gejala

Ini adalah beberapa gejala yang mungkin muncul pada server Anda jika memiliki malware kripto:

  1. Server berjalan lambat.
  2. Penggunaan CPU yang tinggi.
  3. Penggunaan GPU tinggi .
  4. Penggunaan bandwidth tinggi DAN koneksi jaringan ke titik akhir yang tidak biasa

Memeriksa CPU/GPU dan direktori.

  1. Periksa status CPU/GPU Anda, biasanya cryptocurrency menggunakan CPU dan GPU pada kapasitas 100%.
  2. Periksa “C:\Windows\system32” untuk file “.dll” yang baru saja dibuat.
  3. Pada properti file-file ini Anda akan melihat bahwa "nama file asli" adalah test.dll

Memeriksa Layanan dan Penjadwal Tugas

  1. Kami dapat memulai “services.msc” untuk melihat layanan aktif di sistem kami.
  2. Periksa layanan yang tidak memiliki deskripsi.
  3. Membuka Penjadwal Tugas kami, kami dapat melihat tugas yang dijadwalkan untuk dimulai pada waktu tertentu untuk memastikan komponen adware selalu ada.
  4. Anda akan melihat bahwa Penulis tugas adalah grup atau SISTEM administrator server.

Memeriksa koneksi Port.

  1. Dengan menggunakan netstat atau procexp, kita dapat memeriksa proses yang terhubung dengan kita.
  2. Kami harus mengawasi port berikut karena digunakan oleh malware cryptocurrency:14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 5556, 6666, 7777, 8788, 8888 , 8899, 9999

Memeriksa Penggunaan Bandwidth

Penggunaan bandwidth tak terduga yang tinggi dan berkelanjutan sering kali merupakan gejala umum. Karena penyerang biasanya membahayakan sistem yang ingin menjalankan layanan jaringan pada mereka, mungkin ada layanan yang berjalan pada sistem, jadi mendengarkan port aneh dapat mengindikasikan server yang disusupi.

  • Untuk meninjau koneksi jaringan untuk TCP, jalankan perintah berikut di PowerShell:

    NetStat -naop 'TCP'

  • Untuk meninjau koneksi jaringan untuk UDP, jalankan perintah berikut:

    NetStat** -naop 'UDP'

  • Untuk menghitung koneksi tertentu, jalankan salah satu perintah berikut:

    NetStat** -naop 'TCP'
find /c ":<port>"

CATATAN: TCP Sysinternal view menawarkan alat grafis alternatif untuk ulasan ini.

Malware jenis ini sangat sulit ditemukan karena mengambil konfigurasi root seolah-olah sebagai pengguna admin, dan prosesnya mengambil file atau direktori yang digunakan oleh OS.

Rekomendasi yang baik untuk mencegah hal ini, adalah memblokir koneksi port ke kolam penambangan terkenal seperti yang disebutkan dalam artikel ini, untuk menjaga perangkat lunak antimalware kami tetap mutakhir, dan memanfaatkan daftar putih untuk aplikasi.Jika Anda pernah menemukan ini jenis gejala pada sistem Anda menjangkau dukungan teknis karena hal ini dapat membahayakan infrastruktur pelanggan dan ruang rak.

Anda dapat memeriksa artikel ini jika Anda ingin mengetahui hal-hal yang lebih spesifik tentang malware cryptocurrency:Mendeteksi Penambangan Cryptocurrency di Lingkungan Perusahaan

Untuk informasi lebih lanjut, tinjau sumber berikut:

  • Selidiki server Windows yang disusupi - Rackspace
  • Dokumentasi ke Sysinternals - Microsoft
  • Tautan langsung ke alat sysinternal - SysInternals
  • Sophos AntiRootkit - Sophos
  • Mendeteksi Penambangan Cryptocurrency di Lingkungan Perusahaan - SansOrg

Gunakan tab Umpan Balik untuk memberikan komentar atau mengajukan pertanyaan. Anda juga dapat memulai percakapan dengan kami.


Linux

  1. Cara Menginstal .NET 3.5 Di Windows Server 2012 R2

  2. Periksa waktu aktif Server Windows

  3. Mengaktifkan TLS 1.2 di Server Windows

  1. Instal IIS di Windows 2012

  2. Instal Nginx di Windows

  3. Login Windows lambat

  1. Hosting Windows DotNetPanel

  2. Windows Server 2012 dalam semua Kehebatannya

  3. Memecahkan masalah server cloud Windows yang rusak