挖矿篇

经过上次晚上的值守，即是社工、又是钓鱼，妥妥的把小乙给搞得身心疲惫，不过这次调班到白班了，心想着终于不是孤立无援了。来到了值班室，做了简单的工作交接，一些威胁情报需要白班同事帮忙去处理，倒也还好，服务基本都是内网开放，公网都不涉及，所以优先级也不是很高。正在放松警惕的时候，一条内访外的告警打破了这一份宁静。随即小乙赶忙看借助安全工具看了下域名，标签上打着各种挖矿病毒，此时的小乙也来不及和晚班的同事去核对他是不是下载了什么恶意文件还是访问了恶意域名，赶忙上这台外访主机上查看情况。经过分析查看，这台机器既具备snat，cpu基本都被这个进程给占用，端口也有外联的迹象，打算直接先把先关进程给干掉，心想着总算把这个小罗罗给处理掉了。哪知过了一会外联的端口还是启动，告警也接踵而来，只能再次根据端口确定进程，根据进程再确定启动的相关文件。乍一看文件是有计划任务拉起，只能先把计划任务给处理掉，这样告警是消停了。小乙一阵患着迷糊，这个情况又是怎么来的呢，问了下晚上值班同事，是晚上下载运行了非官方的破解软件，可能附带了一些恶意程序导致中毒，自动启动的恶意进程实施的挖矿，此刻小乙也想起老师之前的教导：安全需要防患于未然，明天和意外说不定哪个先来。