建设外贸网站案例,外贸网站定制建站,太仓网站制作哪家好,cms做网站可以做些什么网站一、前言 Linux勒索病毒#xff08;Linux ransomware#xff09;是一种最令人恶心的计算机恶意病毒#xff0c;它以侵入Linux系统#xff0c;捆绑文件并要求支付赎金才能释放文件为主要目的#xff0c;破坏用户的数据#xff0c;造成数据讹诈。Linux勒索病毒它们的存在已…一、前言 Linux勒索病毒Linux ransomware是一种最令人恶心的计算机恶意病毒它以侵入Linux系统捆绑文件并要求支付赎金才能释放文件为主要目的破坏用户的数据造成数据讹诈。Linux勒索病毒它们的存在已经很长一段时间但安全警示显示最近活跃度是又开始增加的。感染方式也比过去更先进它们的攻击目标也更广泛涉及到Linux系统上的多种文件包括文档、图片、音频和视频文件等。
常见病毒 “勒索病毒解密.makop”跟通用病毒传播方式一样它通过恶意电子邮件附件、恶意下载链接、感染的软件安装程序或漏洞利用等途径传播。用户可能会通过打开附件、点击链接、下载软件或访问被感染的网站来感染病毒。一旦用户执行了感染病毒的操作恶意代码将被释放到受感染计算机上。恶意代码可能会使用已知或新发现的漏洞将自己嵌入到系统中以便在后台执行。.之后makop勒索病毒开始扫描计算机上的文件包括文档、图片、视频等。一旦找到目标文件它会使用强大的加密算法对这些文件进行加密加密后通常是“.makop”或“.mop”等扩展名出现用户是无法访问或打开它们的。 \常见后缀为.360、.halo、.malox、.mallox、.maloxx、malloxx、.faust、.kat6、.l6st6r、.babyk、.DevicData-D-XXXXXXXX、.lockbit3.0、.eight、.locked、,locked1、.secret、.[MyFilewaifu.club].mkp、.milovski-V、,makop、devos、eking、.[hpsupportprivatemail.com].Elbie、.Elibe、.[hudsonLcock.li].Devos、.[myerscock.li].Devos、.[hendersoncock.li].Devos[myersairmail.cc].Devos、.[support2022cock.li].faust、.[tsai.shenmailfence.com].faust、faust、.777等勒索病毒 二、特征及影响
1勒索病毒多以windows系统为主要传播对象/首次攻击目标尤其利用RDP远程桌面最为常见然后再利用系统漏洞横向传播。多以如下方式传播包括 1.通过电子邮件附件传播病毒可以混入含有恶意程序的电子邮件附件发送给用户当用户点击附件时病毒就会被下载和安装到用户的系统中。 2.通过社交媒体传播病毒可以嵌入社交媒体中的链接当用户点击链接时病毒就会被下载和安装到用户的系统中。 3.通过聊天软件传播病毒可以用聊天软件发送给用户当用户点击链接时病毒就会被下载和安装到用户的系统中。 2Linux平台病毒问题主要为蠕虫病毒、勒索病毒、后门病毒其中蠕虫病毒占比近半。在蠕虫病毒中最主要的恶意行为是恶意挖矿恶意挖矿所需的技术和攻击成本较低这些挖矿程序在后台静默运行抢占系统大部分资源造成系统卡顿影响正常使用为攻击者带来客观收益这也是近年来此类蠕虫病毒泛滥的主要原因Linux平台病毒传播主要通过漏洞和弱口令暴破进行暴破传播主要以SSH暴破为主漏洞传播主要以各种RCE漏洞为主。有些病毒感染进来后会对内网进行扫描如果发现目标存在漏洞将对目标进行攻击植入后门、挖矿等病毒模块被利用的漏洞往往远程执行Shell脚本进行横向传播且inux平台病毒通常具有一定的持久化手段来进行自我保护给防御和查杀带来困难。
对于勒索病毒来说Linux中大部分勒索病毒自身并不携带任何传播手段由攻击者进行人工渗透入侵攻击成功后上传勒索病毒模块通过加密和窃取数据的方式对企业或单位进行敲诈勒索Linux勒索病毒具有以下特征 1.它可以侵入Linux系统捆绑文件并要求支付赎金以释放文件。 2.它可以在Linux系统上传播通过多种方式感染计算机例如通过邮件附件、社交媒体、聊天软件等。 3.它可以攻击多种文件包括文档、图片、音频和视频文件等。 4.它会显示一个要求用户支付赎金的消息要求用户支付比特币作为赎金才能恢复被捆绑的文件。 Linux平台病毒常见的持久化手段 定时任务这是Linux病毒常用的持久化手段可通过向crontab目录写入定时任务的方式来定期执行Shell脚本往往伴随着大量外访链接即时手动清除了后门程序仍可自动创建定时任务。 \添加为Linux系统服务在systemd/system目录下为病毒模块创建一个服务配置文件系统启动后病毒会自动运行 \常伪装成系统进程后门陈旭会创建了多个进程来防止主进程被关闭和防止病毒模块被删除这类持久化进程往往难以排查 三、防护 1防护手段 1.安装杀毒软件安装杀毒软件和其他安全软件并及时更新其病毒库以防止病毒的传播和感染。 2.及时修补漏洞减小暴露面及时扫描和修复系统中的安全漏洞及时安装操作系统和应用程序的安全更新以弥补已知漏洞防止病毒的入侵减少受到攻击的风险。修改默认端口如SSH、Redis、FTP、MySQL等防止被扫描器暴破 3.使用强密码使用强度足够高的密码避免系统和各个软件使用相同的密码以防止攻击者破解密码从而获取系统访问权限。 4.定期备份数据定期将重要数据备份到安全的外部设备或云存储中确保备份是自动的并进行多个版本的保存。 5.谨慎打开附件和链接避免打开来自不明寄件人的电子邮件附件以及点击怀疑链接因为这可能是传播恶意软件的重要途径之一。 6.安装可信安全软件使用强大的安全软件来检测和拦截恶意软件的入侵尝试。 7.网络安全意识教育教育员工、家庭成员等有关网络安全的基本知识以减少被社会工程攻击的风险。 2防护工具
1.勒索病毒解密.makop” 通过分析病毒的加密算法然后使用特定的密钥来解密加密的文件。它首先会搜索系统中被加密的文件然后识别出病毒的加密算法最后使用特定的密钥来解密文件。它可以有效抵御新出现的勒索病毒防止新的文件被加密支持多种文件格式可以解密 docpdfpptxlsmp3jpg 等多种文件。它主要应用于被勒索病毒加密的文件解密它能够有效恢复被加密的文件让用户可以重新访问这些文件。
2、专业查杀软件windows可选火绒比如HRkill专杀工具PCHunter、
3、Linux杀毒Clamav、GScan火绒安全企业版linux终端产品Rootkit木马后门工具检查使用chkrootkit GscanGscan是一款使用Python3基于web渗透测试开发的信息收集扫描器其融合了大部分的信息收集能力于一体。如常见的主机探活、端口扫描、目录扫描、邮箱收集等同时还提供接口用于拓展其漏洞扫描能力。Gscan旨在为安全应急响应人员对 Linux 系统排查时提供便利实现主机侧 Checklist检查表 的自动全面化检测根据检测结果自动数据聚合进行黑客攻击路径溯源。目前程序只针对Centos进行开发测试其他系统并未做兼容性扫描结果仅做参考 #Gcan安装
yum install git python3 python3-devel gcc-c gcc make -y
git clone https://github.com/grayddq/GScan.git
cd GScan
python3 GScan.py -h #帮助
#使用默认安全扫描
python3 GScan.py #会生成 ./GScan/log/gscan.log 文件
#完全扫描
python3 GScan.py --full#chkriotkit安装
tar zxvf chkrootkit.tar.gz
cd chkrootkit-*
make sense
cp -r chkrootkit-* /usr/local/chkrootkit/usr/local/chkrootkit/chkrootkit -h #帮助
#注chkrootkit在检查rootkit的过程中使用了部分系统命令因此如果服务器被黑客入侵那么依赖的系统命令可能也已经被入侵者替换此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题可以在服务器对外开放前事先将chkrootkit使用的系统命令进行备份在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。
#chkrootkit依赖命令
mkdir /usr/share/.commands #创建一个存储这些命令的隐藏目录
cp -pr which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname /usr/share/.commands/usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/ #参数-p指定chkrootkit检测时使用系统命令的目录chkrootkit指定使用原始命令扫描检测四、附录其他安全
4.1、其他安全风险
常见危害暴力破解漏洞利用流量攻击木马控制(WebshellPC木马等)病毒感染(挖矿蠕 虫勒索等)。
//分析日志统计确认服务器遭受多少次暴力破解有的记录在authpriv日志里grep -o Failed password /var/log/secure|uniq -c//输出登录爆破的第一行和最后一行确认爆破时间范围grep Failed password /var/log/secure|head -1
grep Failed password /var/log/secure|tail -1//定位有哪些 IP 在尝试爆破grep Failed password /var/log/secure|grep -E -o (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|uniq -c | sort -nr//爆破用户名字典都有哪些grep Failed password /var/log/secure|perl -e while($_){ /for(.*?) from/; print $1\n;}|uniq -c|sort -nr//登录成功的日期、用户名、IP有哪些grep Accepted /var/log/secure | awk {print $1,$2,$3,$9,$11}
grep Accepted /var/log/secure | awk {print $11} | sort | uniq -c | sort -nr | more
