上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenApp服务器资源使用率过高 。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽 。初步估计是病毒,没的说,开始排查 。由于我们都不是专业的安全人员,不会做逆向分析,所以只是大致分析了病毒的行为,并做了紧急处理,下面是处理过程 。
首先我们看资源,发现有N个cmd、powershell进程,同时也查询到有大量的445端口数据包
文章插图
然而诡异的是竟然没能通过进程定位的病毒文件,最关键的我们所用的某著名杀毒软件,这兄弟竟然也没吱声,看来被同化了 。
继续排查,在计划任务中,发现了一些踪迹
文章插图
这是一段powershell代码,但是被加密过
文章插图
可以看到一个恶意网址,从计划任务和powershell内容的字面意思可以理解,是每隔1小时,去访问这个恶意网址调取powershell脚本执行 。
综上,基本可以看出这是个挖矿病毒,感觉上和之前某驱动下载软件漏洞导致的挖矿病毒类似 。
能分析出这个,就好办了 。
首先,通过组策略,关闭全网服务器的445端口,必须要开放的,只向固定的用户开放 。
然后,防火墙增加恶意域名黑名单,阻止连接 。更换杀毒软件,目前来看用SCEP可以扫出该病毒并清除 。
当然这只是临时的紧急处理方法,针对病毒的逆向解析和溯源,还是要等专业的安全人员协助进行 。
【记录一次挖矿病毒紧急处理过程】
推荐阅读
- 杜不传什么梗 锅传锅什么梗
- 拔牙之后冰敷 拔牙后冰敷一次几分钟
- 如何恢复微信聊天记录?来看这些找回捷径
- 第一次在闲鱼上卖东西 如何在闲鱼上卖东西
- 如何巧妙地销售茶叶
- 新买的棉麻第一次洗会缩水吗 棉麻衣服缩水怎么恢复
- 多久去一次角质最好?去角质的最佳时间
- 干洗店把我6000元皮草洗坏了 干洗店洗一次貂多少钱
- 微信聊天记录怎么恢复?三大方法任选
- 热敏灸效果 热敏灸一次收费多少