Windows服务器中挖矿病毒排查指南

0    71    1

Tags:

👉 本文共约2105个字,系统预计阅读时间或需8分钟。

本文章适用于Windows服务器中挖矿病毒排查

服务器运行中发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。

场景一:服务器上安装的杀毒软件无法发现可疑文件,并没有异常安全日志

排查步骤:

1. 检查异常端口、进程

A. 打开任务管理器,查看CPU异常达到90%的进程程序

注意:如果客户再工程师排查前,为了不影响服务器,已经结束了异常进程。那么我们排查就不能通过查看异常CUP进程,来锁定危害文件。

图片

图片

B. 通过排查到的异常进程,查看异常进程的程序文件

查看文件属性,看是否是系统自身文件还是非系统自身文件。有微软标签的属于系统文件,没有微软标签属于非系统文件【对排查到的疑是危害文件必需同客户确认文件真实情况,并向客户确认删除后,才可以进行删除】

图片

2. 检查系统启动项、计划任务、服务

C. 看是否有异常开机启动项

注意:同客户确认启动项真实性来判断异常启动项

通过查看以下注册表的位置,检查启动项

图片

图片

D. 排查服务器任务计划,看是否存在异常任务计划

注意:排查过程中遇到执行shell的任务,向客户核实确认任务真实情况

根据客户反馈的信息,对可疑任务进行处理。【禁用、删除】处理同客户确认后再执行操作

本人提供Oracle、MySQL、PG等数据库的培训和考证业务,私聊QQ646634621或微信db_bao,谢谢!

【控制面板】-【管理工具】-【任务计划程序】

关注任务创建者用户和描述,来分析是否是异常任务计划

图片

E. 排查系统服务是否存在异常服务

注意排查过程中遇到可疑服务,同客户确认后再做处理

【控制面板】-【管理工具】-【服务】

一个小技巧:若客户服务器是中文语言,那么可以首先重点关注英语描述的服务

图片

3.日志分析

F. 通过事件查看器,排查服务器的【安全】和【系统】日志

查看是否有异常行为日志,根据异常行为日志判断服务器存在的危害

【控制面板】-【管理工具】-【事件查看器】

【安全日志】关注日志产生时间、审核行为、网络登录类型

图片

4. 检查系统账号安全

G. 注册表检查系统账号

注意:需同客户确认系统账号真实性,再判断处理

注意:SAM需用获取完全控制权限,才能打开后面的目录

图片

5. 自动化查杀

H. 使用两款杀毒软件,进行全盘杀毒

注意:安装其他杀毒软件,须得客户同意才可以安装,对于杀毒软件扫描到的可疑文件,需要判断后才可以进行删除,删除必需获得客户同意才可以处理。

6. 收尾排查

I. 全盘排查确定的危害文件

对于确定的危害文件,可以对危害文件进行一次全盘搜索,看其他位置是否存在危害文件

图片

场景二:服务器上安装的杀毒软件无法发现可疑文件,但有异常安全日志

排查步骤:

1. 检查杀毒软件安全日志

A. 通过杀毒软件的异常安全日志锁定危害文件位置

关注:恶意网站拦截类型告警,查看【操作进程】【操作进程命令】来锁定恶意文件

图片

2. 参照场景一的步骤1开始排查至步骤6

CMD排查命令

参考

https://mp.weixin.qq.com/s/3fYwA9JME2akLmsvT6P4nA

标签:

头像

小麦苗

学习或考证,均可联系麦老师,请加微信db_bao或QQ646634621

您可能还喜欢...

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

15 − 2 =

 

嘿,我是小麦,需要帮助随时找我哦
  • 18509239930
  • 个人微信

  • 麦老师QQ聊天
  • 个人邮箱
  • 点击加入QQ群
  • 个人微店

  • 回到顶部
返回顶部