服务器中了挖矿病毒-应急响应

事件:客户反映服务器响应很慢,出行卡顿,服务器操作系统为windows server 2008。

现场解决步骤:

1、打开任务管理器,看到一个javs.exe的程序,占用CPU使用率比较高,怀疑可能是木马。

2、右键打开文件位置,可以看到四个文件。接下来我们打开隐藏文件和扩展名。

看到一个config.json文件,使用记事本打开这个文件,发现异常url。

3、复制异常url到沙箱里面检测以下。

发现这个url检测是矿池。

4、当结束这个进程后,发现又自动启动了,确定是有计划任务的。

5、点击服务器左下角的开始菜单-管理工具-任务计划程序,进入后看到一条计划任务,而且每隔一分钟重复一次,无限期执行。

6、删除这条计划任务,然后将木马文件也删除掉。

7、给服务复制一个工具检测一下,工具是Autoruns开机启动项管理工具

对发现的异常程序右键点击-跳转到注册表。

8、找到image file 展开,找到sechc.exe

删除这条。

9、点击服务器左下角开始菜单-管理工具-计算机管理-本地用户和组-用户可以看到有个隐藏账号。

10、打开注册表找到SAM-Domains-Account-Users-Names展开找到隐藏账户,删除掉。

到目前为止木马和任务计划、账户都已经被删除了,接下来排查日志。

11、服务器开始菜单-管理工具-事件查看器,然后点击windows日志-安全。

可以分析登录失败,登录验证审核成功、远程登录ip和端口号等。

相关推荐
aherhuo20 分钟前
基于openEuler22.09部署OpenStack Yoga云平台(一)
linux·运维·服务器·openstack
WebDeveloper200123 分钟前
如何使用美国域名中心US Domain Center和WordPress创建商业网站
运维·服务器·css·网络·html
檀越剑指大厂1 小时前
【Linux系列】Shell 脚本中的条件判断:`[ ]`与`[[ ]]`的比较
linux·运维·服务器
2301_819287123 小时前
ce第六次作业
linux·运维·服务器·网络
CIb0la3 小时前
GitLab 停止为中国区用户提供 GitLab.com 账号服务
运维·网络·程序人生
武汉联从信息3 小时前
如何使用linux日志管理工具来管理oracle osb服务器日志文件?
linux·运维·服务器
天天进步20153 小时前
STUN服务器实现NAT穿透
运维·服务器
月如琉璃3 小时前
1.gitlab 服务器搭建流程
服务器·gitlab
Kika写代码3 小时前
【微信小程序】页面跳转基础 | 我的咖啡店-综合实训
服务器·微信小程序·小程序
PieroPc3 小时前
Python 自动化 打开网站 填表登陆 例子
运维·python·自动化