码迷,mamicode.com
首页 > Windows程序 > 详细

记一次window服务器木马排查(后门植入挖矿程序)

时间:2017-08-24 20:03:34      阅读:688      评论:0      收藏:0      [点我收藏+]

标签:后门植入挖矿程序

1,新项目需要一台windows服务器,安装所需环境和服务后,发现服务器资源不足无法运行,查看任务管理器,发现可疑程序占满了CPU

技术分享

技术分享

通过百度发现,这个一个挖矿程序,显然是被后门植入了矿机,果断杀掉进程,删掉文件

技术分享

第二天,发现CPU又被挖矿沾满,经过分析,这个后门程序,和系统的svchost.exe很像,删除过后一直自动新建出来。

通过一个一个的排查进程,发现一个可疑进程,和程序,经过仔细的对比了解,可疑判断这是一个后门木马

技术分享

     由于服务器跑的服务比较多,不能开防火墙,只能选择第三方防护软件,综合对比了一下,决定使用安全管家,准备在防护软件保护下,

开始手工清理木马,

    首先,结束挖机进程,发现会自动新建进程,然后,结束可疑木马程序,再结束挖机程序,没问题,可以正常结束,使用电脑管家扫描这个文件

技术分享

window木马伪装及权限问题,手工清理很难清理干净,所以这里我还是选项防护软件进行扫描,清理木马并重启,OK

技术分享

     技术分享

技术分享


本文出自 “我的运维成长之路” 博客,请务必保留此出处http://maicos.blog.51cto.com/10433789/1958915

记一次window服务器木马排查(后门植入挖矿程序)

标签:后门植入挖矿程序

原文地址:http://maicos.blog.51cto.com/10433789/1958915

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!