安基網 首頁 電腦 殺毒安全 查看內容

記錄一次挖礦病毒緊急處理過程

2019-8-25 14:50| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 上周一早上,我和磊哥正百無聊賴的在公司大門口抽煙,突然手機提示我們的xenapp服務器資源使用率過高。按理說,這服務器一個月的總訪問量也不會超過100,資源不可能耗盡。初步估計是病毒,沒的說,開始排查。由于我們都不是專業的安全人員,不會做逆向分析,所以只是大致分析了病毒的行為,并做了緊急 ...

上周一早上,我和磊哥正百無聊賴的在公司大門口抽煙,突然手機提示我們的xenapp服務器資源使用率過高。按理說,這服務器一個月的總訪問量也不會超過100,資源不可能耗盡。

初步估計是病毒,沒的說,開始排查。由于我們都不是專業的安全人員,不會做逆向分析,所以只是大致分析了病毒的行為,并做了緊急處理,下面是處理過程。

首先我們看資源,發現有N個cmd、powershell進程,同時也查詢到有大量的445端口數據包

然而詭異的是竟然沒能通過進程定位的病毒文件,最關鍵的我們所用的某著名殺毒軟件,這兄弟竟然也沒吱聲,看來被同化了。

繼續排查,在計劃任務中,發現了一些蹤跡

這是一段powershell代碼,但是被加密過

可以看到一個惡意網址,從計劃任務和powershell內容的字面意思可以理解,是每隔1小時,去訪問這個惡意網址調取powershell腳本執行。

綜上,基本可以看出這是個挖礦病毒,感覺上和之前某驅動下載軟件漏洞導致的挖礦病毒類似。

能分析出這個,就好辦了。

首先,通過組策略,關閉全網服務器的445端口,必須要開放的,只向固定的用戶開放。

然后,防火墻增加惡意域名黑名單,阻止連接。更換殺毒軟件,目前來看用SCEP可以掃出該病毒并清除。

當然這只是臨時的緊急處理方法,針對病毒的逆向解析和溯源,還是要等專業的安全人員協助進行。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6728986095612068364/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧