<返回更多

记录一次挖矿病毒紧急处理过程

2019-08-26    
加入收藏

上周一早上,我和磊哥正百无聊赖的在公司大门口抽烟,突然手机提示我们的xenApp服务器资源使用率过高。按理说,这服务器一个月的总访问量也不会超过100,资源不可能耗尽。

初步估计是病毒,没的说,开始排查。由于我们都不是专业的安全人员,不会做逆向分析,所以只是大致分析了病毒的行为,并做了紧急处理,下面是处理过程。

首先我们看资源,发现有N个cmd、powershell进程,同时也查询到有大量的445端口数据包

记录一次挖矿病毒紧急处理过程

 

然而诡异的是竟然没能通过进程定位的病毒文件,最关键的我们所用的某著名杀毒软件,这兄弟竟然也没吱声,看来被同化了。

继续排查,在计划任务中,发现了一些踪迹

记录一次挖矿病毒紧急处理过程

 

这是一段powershell代码,但是被加密过

记录一次挖矿病毒紧急处理过程

 

可以看到一个恶意网址,从计划任务和powershell内容的字面意思可以理解,是每隔1小时,去访问这个恶意网址调取powershell脚本执行。

综上,基本可以看出这是个挖矿病毒,感觉上和之前某驱动下载软件漏洞导致的挖矿病毒类似。

能分析出这个,就好办了。

首先,通过组策略,关闭全网服务器的445端口,必须要开放的,只向固定的用户开放。

然后,防火墙增加恶意域名黑名单,阻止连接。更换杀毒软件,目前来看用SCEP可以扫出该病毒并清除。

当然这只是临时的紧急处理方法,针对病毒的逆向解析和溯源,还是要等专业的安全人员协助进行。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>