Windows服务器中挖矿病毒排查指南
👉 本文共约2091个字,系统预计阅读时间或需8分钟。
本文章适用于Windows服务器中挖矿病毒排查
服务器运行中发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。
场景一:服务器上安装的杀毒软件无法发现可疑文件,并没有异常安全日志
排查步骤:
1. 检查异常端口、进程
A. 打开任务管理器,查看CPU异常达到90%的进程程序
注意:如果客户再工程师排查前,为了不影响服务器,已经结束了异常进程。那么我们排查就不能通过查看异常CUP进程,来锁定危害文件。
B. 通过排查到的异常进程,查看异常进程的程序文件
查看文件属性,看是否是系统自身文件还是非系统自身文件。有微软标签的属于系统文件,没有微软标签属于非系统文件【对排查到的疑是危害文件必需同客户确认文件真实情况,并向客户确认删除后,才可以进行删除】
2. 检查系统启动项、计划任务、服务
C. 看是否有异常开机启动项
注意:同客户确认启动项真实性来判断异常启动项
通过查看以下注册表的位置,检查启动项
1 2 3 4 5 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
1 2 3 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run* |
D. 排查服务器任务计划,看是否存在异常任务计划
注意:排查过程中遇到执行shell的任务,向客户核实确认任务真实情况
根据客户反馈的信息,对可疑任务进行处理。【禁用、删除】处理同客户确认后再执行操作
【控制面板】-【管理工具】-【任务计划程序】
关注任务创建者用户和描述,来分析是否是异常任务计划
E. 排查系统服务是否存在异常服务
注意排查过程中遇到可疑服务,同客户确认后再做处理
【控制面板】-【管理工具】-【服务】
一个小技巧:若客户服务器是中文语言,那么可以首先重点关注英语描述的服务
3.日志分析
F. 通过事件查看器,排查服务器的【安全】和【系统】日志
查看是否有异常行为日志,根据异常行为日志判断服务器存在的危害
【控制面板】-【管理工具】-【事件查看器】
【安全日志】关注日志产生时间、审核行为、网络登录类型
4. 检查系统账号安全
G. 注册表检查系统账号
注意:需同客户确认系统账号真实性,再判断处理
本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务,私聊QQ646634621或微信db_bao,谢谢!
