安基网 欢乐生肖 电脑 杀毒安全 查看内容

记录一次挖矿病毒紧急处理过程

2019-8-25 14:50| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。初步估计是病毒,没的说,开始排查。由于我们都不是专业的安全人员,不会做逆向分析,所以只是大致分析了病毒的行为,并做了紧急 ...

上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenapp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。

初步估计是病毒,没的说,开始排查。由于我们都不是专业的安全人员,不会做逆向分析,所以只是大致分析了病毒的行为,并做了紧急处理,下面是处理过程。

首先我们看资源,发现有N个cmd、powershell进程,同时也查询到有大量的445端口数据包

然而诡异的是竟然没能通过进程定位的病毒文件,最关键的我们所用的某著名杀毒软件,这兄弟竟然也没吱声,看来被同化了。

继续排查,在计划任务中,发现了一些踪迹

这是一段powershell代码,但是被加密过

可以看到一个恶意网址,从计划任务和powershell内容的字面意思可以理解,是每隔1小时,去访问这个恶意网址调取powershell脚本执行。

综上,基本可以看出这是个挖矿病毒,感觉上和之前某驱动下载软件漏洞导致的挖矿病毒类似。

能分析出这个,就好办了。

首先,通过组策略,关闭全网服务器的445端口,必须要开放的,只向固定的用户开放。

然后,防火墙增加恶意域名黑名单,阻止连接。更换杀毒软件,目前来看用SCEP可以扫出该病毒并清除。

当然这只是临时的紧急处理方法,针对病毒的逆向解析和溯源,还是要等专业的安全人员协助进行。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6728986095612068364/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
安徽快3走势 澳门手机网投 快乐赛车官网 山东群英会走势图 欢乐生肖 欢乐生肖 澳洲幸运8 欢乐生肖 飞速赛车平台 快乐赛车