一、关于powershell挖矿病毒

在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,

通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。

二、存在该病毒的现象

机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用cpu在75%以上。

三、清除病毒

清除该病毒需三部,电脑中以文件存在的病、计划任务,驻留在WMI中挖矿和横向感染程序

1、清除机器中的文件病毒

清除文件病毒的比较容易,可以用360、电脑管家、火狐等杀毒软件进行全盘扫描,主要清除cohernece.exe这个文件,90%的文件病毒能被查杀。

部分病毒文件需要手动清除,可以清空C:\Windows\Temp下的文件以及回收站里的文件

2、清除计划任务

在 管理工具 --> 计划任务程序 -->  计划任务程序库 中删除可疑的计划任务

3、清除驻留在内存中的病毒

win+r --> 输入wbemtest.exe -->  回车 在弹出的程序中点击 连接 在弹框中输入 root\default 然后点击连接

连接成功后依次做以下操作

然后找到下面两个属性,双击

拉到最下面,有几个挖矿病毒添加的属性,选中后删除即可

四、病毒的防范

1、怎么感染病毒的

感染挖矿病毒无非两种方式:

1、黑客通过攻击暴露在公网的服务,并获取系统权限,植入病毒,并利用脚本进行自动化横向渗透内网部署挖矿病毒。

2、员工通过钓鱼(钓鱼邮件、注册机、免费软件等)获取内网办公电脑权限,通过办公电脑进行横向渗透。

2、怎么预防

黑客外网攻击预防:1、暴露在外网的服务器已最小原则部署,只开放业务端口。

2、加强基线配置,如增加口令强度,删除不必要的一些配置等

4、操作系统、中间件、数据库可以被远程利用的漏洞必须打上补丁

3、加强业务代码的强壮行,避免存在高中危咯度

钓鱼的预防:1、首先就是员工的安全意识了,如可疑程序先杀毒并在虚拟环境中执行,经常杀毒等

2、办公电脑的集中管理和病毒实时发现

横向渗透的预防:1、安全隔离,进行安全域的划分,实现端口级别的访问控制。

2、不要有弱口令的主机  (挖矿病毒横向渗透两个,爆破和漏洞利用)

3、该打的补丁都打上

4、不要账号复用

python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法相关推荐

  1. 【应急响应】挖矿脚本检测指南威胁情报样本定性文件清除入口修复

    文章目录 挖矿样本-Win&Linux-危害&定性 Linux-Web安全漏洞导致挖矿事件 Windows-系统口令爆破导致挖矿事件 Linux-个人真实服务器被植入挖矿分析 挖矿样本 ...

  2. Linux应急响应之挖矿篇

    Linux应急响应之挖矿篇 Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用.那么安全人员遇到这类问题该如何解决呢? 首先了解一下什么是挖矿 每隔一个时间点,比特币系统会在系统节点上生 ...

  3. 应急响应 | TeamTNT挖矿木马应急溯源分析

    声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全.企业安全.国家安全. 在前一周的时间里,客 ...

  4. 3.Windows应急响应:蠕虫病毒

    0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...

  5. 忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应

    戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试.代码审计.应急响应.漏洞研究.威胁情报.安全运维.攻防演练等 本文约1790字,阅读约需5分钟. 0x00 前言 随着虚拟 ...

  6. 网页java挂挖矿_记一次服务器被植入挖矿脚本的解决过程

    记一次服务器被植入挖矿脚本的解决过程 删除挖矿脚本和对应的进程 找出并删除对应挖矿脚本文件 找出进程pid,并且kill掉 无法kill掉的是原进程的守护进程,原进程不在它也会自动关闭,所以不用管它 ...

  7. 一些应急响应教学视频笔记

    最近看完了一个应急响应的视频 https://www.bilibili.com/video/BV1Yq4y1p7Vz?from=search&seid=4465743441233556739& ...

  8. 网络安全应急响应----6、挖矿攻击应急响应

    文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...

  9. 手把手教你做挖矿应急响应

    前言 攻防之道,攻是矛,防是盾.应急响应就是防守中最重要的一环,思路清晰的应急响应可以使你事半功倍,抓住攻击者的小尾巴! 本文主要面向无应急基础人员入门引导,大佬轻喷!!! 文中会引用几次我经历过的真 ...

最新文章

  1. 安装Docker:解决container-selinux = 2.9问题
  2. 不可逆的类初始化过程
  3. Struts值栈与Ognl
  4. mysql主从配置笔记_MySQL主从配置学习笔记
  5. [Angularjs]过滤器
  6. c语言里的宏(翻译)4
  7. 如何在运行时使用SAP Commerce Cloud backoffice直接给类型增添新属性
  8. 阿里巴巴旗下平台口碑推出无人收银技术,改造便利店市场;重庆法院运用 AI 探索“智能判案”...
  9. tkinter的GUI设计:界面与逻辑分离(三)-- 多页面
  10. Linux设备树 .dtb文件,内核使用dtb文件的过程
  11. 通向码农的道路(enet开源翻译计划 二)
  12. [原创]python MySQLdb在windows环境下的安装、出错问题以及解决办法
  13. 汉字笔顺口诀_一帮40后理工男编出新型字典,《笔顺码字典》在汉首发
  14. flask及扩展源码解读
  15. 使用stress,压力测试K8S的POD cpu
  16. AD 绘制原理图库default designator不显示
  17. 如何通过JavaScript获取搜索引擎搜索关键词
  18. 有钱人抢豪宅,普通人不敢消费:社会在割裂,富人更富,穷人更穷
  19. 内心宁静_宁静js的新功能2 16 0
  20. 速卖通AliExpress绑定连连跨境支付收款教程!

热门文章

  1. java输出字体_ITEXT输出中文调用windows字体
  2. 二手手机支付密码被破解,钱赚了人也进去了!
  3. Java 中的 NaN
  4. randint( )函数生成随机数——python小练
  5. 获取select2选中的值_传奇技能第二祭:获取GM权限及管理员命令,调爆率和刷怪...
  6. 以交易为生是一种什么体验?
  7. 数学建模:17 微分方程
  8. [DBNETLIB][ConnectionOpen(connect()).]SQL Server 不存在或拒绝访问的一种原因
  9. 行业内的服装管理软件个性化定制,哪家服务最周到?
  10. 看看别人后端API接口性能优化的11个方法,那叫一个优雅!