首页 > 系统相关 > 详细

Powershell无文件挖矿查杀方法

时间：2020-02-28 18:44:07 阅读：219 评论：0 收藏：0 [点我收藏+]

标签：update rsh 规则 tar nat 删除 tps run pen

病毒现象

服务器出现卡顿、CPU飙升
和其他主机的445端口，建立起大量的连接
存在大量Powershell进程

病毒处置

封堵445端口; 或打永恒之蓝漏洞补丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/)、加强主机密码且密码各不相同。
在AF等设备添加规则，限制访问下列域名和IP：
web4.olukotun.info
update.7h4uk.com
info.7h4uk.com
d4uk.7h4uk.com
111.90.145.52
185.234.217.139

使用Autoruns，删除Powershell的WMI：
使用Autoruns，删除任务计划 WindowsLogTasks 和 System Log Security Check。
使用ProcessHacker，结束如下进程(选中后，右键点击Terminate即可结束进程)：
a. powershell.exe进程
b. regsvr32.exe进程
c. cohernece.exe进程
以上步骤结束后，使用杀软全盘查杀病毒文件

Powershell无文件挖矿查杀方法

标签：update rsh 规则 tar nat 删除 tps run pen

原文地址：https://www.cnblogs.com/yyxianren/p/12378271.html

踩

(0)

赞

(0)

举报

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行

更多

友情链接

兰亭集智国之画百度统计站长统计阿里云 chrome插件新版天听网

关于我们 - 联系我们 - 留言反馈

© 2014 mamicode.com 版权所有联系我们:gaon5@hotmail.com

迷上了代码！