首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

记一次挖矿病毒处理

近期有同事反映内网某几个10开头windows服务器很卡,数据库很慢。

经排查发现进程中powershell.exe进程过高;

关闭此进程后过一会又会自动弹出来,

由于自动启动在排查发现计划任务中多了自动任务

在排查开机启动任务后发现 服务器多了很多开机自动启动的任务

综上情况觉得和最近频繁的挖矿病毒很像,

此病毒的特点为:利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特点,达到系统应用白进程执行恶意代码,从而使受害者难以发现。

原理为恶意软件新建计划任务,计划任务通过远程注册ddl,从而实现屏幕截屏,ddos攻击,上传下载服务器文件等功能。通过ddos攻击通过运行powershell进程从而实现无中毒文件还能挖矿的目的。

解决方法为:卸载可疑软件、删除计划任务和开机启动任务,删除C:\Windows\System32\WindowsPowerShell\v1.0 下powershell功能。下载杀毒软件全盘杀毒;

至此服务器cpu正常。

此病毒还会更改组策略配置,使一些正常的如文件共享功能不能使用,

解决方法为:打开组策略信息找到如下位置看看是否启用了ip限制

更改后在cmd下运行gpupdate/force 即可

也可以运行sfc /scannow 更加仔细的了解一下自己的电脑;

敲黑板,如果linux中挖矿病毒了该怎么办?

可以尝试用以下步骤清理病毒:

1. 使用类似如下命令通过 pid 获取对于文件的路径, ls -l /proc/$PID/exe;

2. 使用 kill 命令关闭进程;

3. 删除步骤 1 获取的对应的文件。例如包括/tmp/wnTKYg,/tmp/ddg.*;

4. 清理/root/.ssh/authorized_keys 病毒添加的记录;

5. 删除定时任务,删除/var/spool/cron/root,/var/spool/cron/crontabs/root;

6. 使用绿盟漏洞扫描服务进行服务器扫描并加固;

年关将至,别让自己的辛苦白费,别给病毒留机会。

最后也没啥说得了,就祝大家2019牛逼吧。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190117G1CNIA00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券