事件:客户反映服务器响应很慢,出行卡顿,服务器操作系统为windows server 2008。
现场解决步骤:
1、打开任务管理器,看到一个javs.exe的程序,占用CPU使用率比较高,怀疑可能是木马。
2、右键打开文件位置,可以看到四个文件。接下来我们打开隐藏文件和扩展名。
看到一个config.json文件,使用记事本打开这个文件,发现异常url。
3、复制异常url到沙箱里面检测以下。
发现这个url检测是矿池。
4、当结束这个进程后,发现又自动启动了,确定是有计划任务的。
5、点击服务器左下角的开始菜单-管理工具-任务计划程序,进入后看到一条计划任务,而且每隔一分钟重复一次,无限期执行。
6、删除这条计划任务,然后将木马文件也删除掉。
7、给服务复制一个工具检测一下,工具是Autoruns开机启动项管理工具
对发现的异常程序右键点击-跳转到注册表。
8、找到image file 展开,找到sechc.exe
删除这条。
9、点击服务器左下角开始菜单-管理工具-计算机管理-本地用户和组-用户可以看到有个隐藏账号。
10、打开注册表找到SAM-Domains-Account-Users-Names展开找到隐藏账户,删除掉。
到目前为止木马和任务计划、账户都已经被删除了,接下来排查日志。
11、服务器开始菜单-管理工具-事件查看器,然后点击windows日志-安全。
可以分析登录失败,登录验证审核成功、远程登录ip和端口号等。