当前位置: 首页 > article >正文

服务器中了挖矿病毒-应急响应

事件:客户反映服务器响应很慢,出行卡顿,服务器操作系统为windows server 2008。

现场解决步骤:

1、打开任务管理器,看到一个javs.exe的程序,占用CPU使用率比较高,怀疑可能是木马。

2、右键打开文件位置,可以看到四个文件。接下来我们打开隐藏文件和扩展名。

看到一个config.json文件,使用记事本打开这个文件,发现异常url。

3、复制异常url到沙箱里面检测以下。

发现这个url检测是矿池。

4、当结束这个进程后,发现又自动启动了,确定是有计划任务的。

5、点击服务器左下角的开始菜单-管理工具-任务计划程序,进入后看到一条计划任务,而且每隔一分钟重复一次,无限期执行。

6、删除这条计划任务,然后将木马文件也删除掉。

7、给服务复制一个工具检测一下,工具是Autoruns开机启动项管理工具

对发现的异常程序右键点击-跳转到注册表。

8、找到image file 展开,找到sechc.exe

删除这条。

9、点击服务器左下角开始菜单-管理工具-计算机管理-本地用户和组-用户可以看到有个隐藏账号。

10、打开注册表找到SAM-Domains-Account-Users-Names展开找到隐藏账户,删除掉。

到目前为止木马和任务计划、账户都已经被删除了,接下来排查日志。

11、服务器开始菜单-管理工具-事件查看器,然后点击windows日志-安全。

可以分析登录失败,登录验证审核成功、远程登录ip和端口号等。


http://www.kler.cn/a/450570.html

相关文章:

  • 今日总结 2024-12-24
  • 概率论 期末 笔记
  • vue 集成 webrtc-streamer 播放视频流 - 解决阿里云内外网访问视频流问题
  • HDR视频技术之十一:HEVCH.265 的 HDR 编码方案
  • MySQL-存储过程(头歌数据库实验题)
  • “AI 线索精益模型调用系统:开启精准营销新引擎
  • 活着就好20241225
  • ctf相关总结
  • StartAI图生图局部重绘,让画面细节焕发新生!!
  • 基于单片机(如 51 单片机)实现十字路口交通灯控制电路的设计方案示例
  • 【Vue3+ts入门小试牛刀】
  • [机器学习]sklearn入门指南(2)
  • Elasticsearch介绍及安装部署
  • CentOs安装Nginx
  • Ubuntu系统部署程序:修改IP、部署docker、nginx、Redis、onlyoffice、java
  • git Force Push失败:unable to access解决方案
  • python web知识点梳理
  • Stealthy Attack on Large Language Model based Recommendation
  • 电子电气架构 --- 什么是EPS?
  • Linux程序设计(第四版)| 学习笔记
  • pythonWeb~伍~初识Django
  • ck集群数据迁移
  • SMMU软件指南SMMU编程之虚拟机结构和缓存
  • Spring篇--基于注解的Spring应用
  • SSM书影音社区前端设计与实现u15u5--(程序+源码+数据库+调试部署+开发环境)
  • 深入理解IQ混频(基于ad9361架构)