python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
一、关于powershell挖矿病毒
在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,
通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。
二、存在该病毒的现象
机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用cpu在75%以上。
三、清除病毒
清除该病毒需三部,电脑中以文件存在的病、计划任务,驻留在WMI中挖矿和横向感染程序
1、清除机器中的文件病毒
清除文件病毒的比较容易,可以用360、电脑管家、火狐等杀毒软件进行全盘扫描,主要清除cohernece.exe这个文件,90%的文件病毒能被查杀。
部分病毒文件需要手动清除,可以清空C:\Windows\Temp下的文件以及回收站里的文件
2、清除计划任务
在 管理工具 --> 计划任务程序 --> 计划任务程序库 中删除可疑的计划任务
3、清除驻留在内存中的病毒
win+r --> 输入wbemtest.exe --> 回车 在弹出的程序中点击 连接 在弹框中输入 root\default 然后点击连接
连接成功后依次做以下操作
然后找到下面两个属性,双击
拉到最下面,有几个挖矿病毒添加的属性,选中后删除即可
四、病毒的防范
1、怎么感染病毒的
感染挖矿病毒无非两种方式:
1、黑客通过攻击暴露在公网的服务,并获取系统权限,植入病毒,并利用脚本进行自动化横向渗透内网部署挖矿病毒。
2、员工通过钓鱼(钓鱼邮件、注册机、免费软件等)获取内网办公电脑权限,通过办公电脑进行横向渗透。
2、怎么预防
黑客外网攻击预防:1、暴露在外网的服务器已最小原则部署,只开放业务端口。
2、加强基线配置,如增加口令强度,删除不必要的一些配置等
4、操作系统、中间件、数据库可以被远程利用的漏洞必须打上补丁
3、加强业务代码的强壮行,避免存在高中危咯度
钓鱼的预防:1、首先就是员工的安全意识了,如可疑程序先杀毒并在虚拟环境中执行,经常杀毒等
2、办公电脑的集中管理和病毒实时发现
横向渗透的预防:1、安全隔离,进行安全域的划分,实现端口级别的访问控制。
2、不要有弱口令的主机 (挖矿病毒横向渗透两个,爆破和漏洞利用)
3、该打的补丁都打上
4、不要账号复用
python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法相关推荐
- 【应急响应】挖矿脚本检测指南威胁情报样本定性文件清除入口修复
文章目录 挖矿样本-Win&Linux-危害&定性 Linux-Web安全漏洞导致挖矿事件 Windows-系统口令爆破导致挖矿事件 Linux-个人真实服务器被植入挖矿分析 挖矿样本 ...
- Linux应急响应之挖矿篇
Linux应急响应之挖矿篇 Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用.那么安全人员遇到这类问题该如何解决呢? 首先了解一下什么是挖矿 每隔一个时间点,比特币系统会在系统节点上生 ...
- 应急响应 | TeamTNT挖矿木马应急溯源分析
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全.企业安全.国家安全. 在前一周的时间里,客 ...
- 3.Windows应急响应:蠕虫病毒
0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...
- 忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试.代码审计.应急响应.漏洞研究.威胁情报.安全运维.攻防演练等 本文约1790字,阅读约需5分钟. 0x00 前言 随着虚拟 ...
- 网页java挂挖矿_记一次服务器被植入挖矿脚本的解决过程
记一次服务器被植入挖矿脚本的解决过程 删除挖矿脚本和对应的进程 找出并删除对应挖矿脚本文件 找出进程pid,并且kill掉 无法kill掉的是原进程的守护进程,原进程不在它也会自动关闭,所以不用管它 ...
- 一些应急响应教学视频笔记
最近看完了一个应急响应的视频 https://www.bilibili.com/video/BV1Yq4y1p7Vz?from=search&seid=4465743441233556739& ...
- 网络安全应急响应----6、挖矿攻击应急响应
文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...
- 手把手教你做挖矿应急响应
前言 攻防之道,攻是矛,防是盾.应急响应就是防守中最重要的一环,思路清晰的应急响应可以使你事半功倍,抓住攻击者的小尾巴! 本文主要面向无应急基础人员入门引导,大佬轻喷!!! 文中会引用几次我经历过的真 ...
最新文章
- 安装Docker:解决container-selinux = 2.9问题
- 不可逆的类初始化过程
- Struts值栈与Ognl
- mysql主从配置笔记_MySQL主从配置学习笔记
- [Angularjs]过滤器
- c语言里的宏(翻译)4
- 如何在运行时使用SAP Commerce Cloud backoffice直接给类型增添新属性
- 阿里巴巴旗下平台口碑推出无人收银技术,改造便利店市场;重庆法院运用 AI 探索“智能判案”...
- tkinter的GUI设计:界面与逻辑分离(三)-- 多页面
- Linux设备树 .dtb文件,内核使用dtb文件的过程
- 通向码农的道路(enet开源翻译计划 二)
- [原创]python MySQLdb在windows环境下的安装、出错问题以及解决办法
- 汉字笔顺口诀_一帮40后理工男编出新型字典,《笔顺码字典》在汉首发
- flask及扩展源码解读
- 使用stress,压力测试K8S的POD cpu
- AD 绘制原理图库default designator不显示
- 如何通过JavaScript获取搜索引擎搜索关键词
- 有钱人抢豪宅,普通人不敢消费:社会在割裂,富人更富,穷人更穷
- 内心宁静_宁静js的新功能2 16 0
- 速卖通AliExpress绑定连连跨境支付收款教程!
热门文章
- java输出字体_ITEXT输出中文调用windows字体
- 二手手机支付密码被破解,钱赚了人也进去了!
- Java 中的 NaN
- randint( )函数生成随机数——python小练
- 获取select2选中的值_传奇技能第二祭:获取GM权限及管理员命令,调爆率和刷怪...
- 以交易为生是一种什么体验?
- 数学建模:17 微分方程
- [DBNETLIB][ConnectionOpen(connect()).]SQL Server 不存在或拒绝访问的一种原因
- 行业内的服装管理软件个性化定制,哪家服务最周到?
- 看看别人后端API接口性能优化的11个方法,那叫一个优雅!