【网络安全】我的第一次windows服务器杀毒经历
2016-09-21 14:34
302 查看
公司的数据库服务器上有毒,一直没太在意(因为没有人在意,创业公司,问题不严重就没人管)。
今天遇到点问题,就顺手把服务器上的毒清了吧。
快捷键win+ R,打开cmd
输入netstat -ano查看端口状态
etablished表示正在使用的,其他的不管,UDP协议的也不管
打开百度,搜索IP,查看ip归属地
发现176.9.147.178是国外的ip,这个就是攻击者的ip了,后面1820是进程ID(PID)
打开任务管理器,进程tab选择菜单栏的查看,选择列,勾选pid
找到对应的pid,右键该进程update.exe,打开文件所在目录
发现没有update.exe,菜单栏组织-文件夹和搜索选项-查看,
发现文件
上面的是日志文件,打开看看
搜索下minergate,原来是挖矿程序
搜索下nssm,是个系统服务管理工具
看下update.bat
1.脚本把update.exe设置成了系统服务system_update,把服务删掉:
sc命令好像被禁了,那就用攻击者的工具吧,在当前目录下,输入nssm remove system_update ,点击确认,移除
2.进程中查找程序,如果没有启动就启动服务
3.递归设置文件夹隐藏属性,这个文件夹没有找到,是不是安装完清掉了
4.不允许账户强制注销
5.提供注册表修改远程终端连接配置,不知道这里什么用意...
6.提供注册表设置文件夹选项,设置不显示隐藏文件
7.设置当前目录的所有文件为系统和隐藏属性
8.删除本脚本,自己删除自己,失败了吧
删除服务和程序,貌似没其他了吧,先用着看看。
今天遇到点问题,就顺手把服务器上的毒清了吧。
快捷键win+ R,打开cmd
输入netstat -ano查看端口状态
etablished表示正在使用的,其他的不管,UDP协议的也不管
打开百度,搜索IP,查看ip归属地
发现176.9.147.178是国外的ip,这个就是攻击者的ip了,后面1820是进程ID(PID)
打开任务管理器,进程tab选择菜单栏的查看,选择列,勾选pid
找到对应的pid,右键该进程update.exe,打开文件所在目录
发现没有update.exe,菜单栏组织-文件夹和搜索选项-查看,
发现文件
上面的是日志文件,打开看看
搜索下minergate,原来是挖矿程序
搜索下nssm,是个系统服务管理工具
看下update.bat
1.脚本把update.exe设置成了系统服务system_update,把服务删掉:
sc命令好像被禁了,那就用攻击者的工具吧,在当前目录下,输入nssm remove system_update ,点击确认,移除
2.进程中查找程序,如果没有启动就启动服务
3.递归设置文件夹隐藏属性,这个文件夹没有找到,是不是安装完清掉了
4.不允许账户强制注销
5.提供注册表修改远程终端连接配置,不知道这里什么用意...
6.提供注册表设置文件夹选项,设置不显示隐藏文件
7.设置当前目录的所有文件为系统和隐藏属性
8.删除本脚本,自己删除自己,失败了吧
删除服务和程序,貌似没其他了吧,先用着看看。
相关文章推荐
- 一个惨痛经历——网络安全不容忽视
- 网络安全曝“黑”幕: 杀毒厂商卖“过期药”?
- “鬼影”浅析 - 反病毒,信息安全,网络安全,反木马,病毒资讯平台,安全解决方案,电脑使用技巧,杀毒软件交流,anti-virus,民间反病毒联盟
- ***正传——著名网络安全人士郭鑫成长经历
- 网络安全困局 杀毒软件遭严峻考验
- 一次监控网络,linux杀毒经历
- 去360总部参加网络信息安全会议经历
- 这是我第一次发BLOG,写点个人经历
- 企业信息与网络通信安全(4)公司的管理和产权
- 企业信息与网络通信安全(6)财务分析
- 回归网络安全!
- 网络安全解决办法
- 由http暗藏通道看网络安全
- 求助!关于网络安全的问题!急!!!
- 企业信息与网络通信安全(7)退出机制
- 企业信息与网络通信安全(1) 执 行 总 结
- 文本水印技术与网络安全通信
- 网络安全测试软件internet scanner学习笔记(二)