朋友说他公司有台Windows服务器,最近慢的出奇,让我去帮他看看。
起初以为是硬件问题,不过打开Task Manager一看,惊呆了,其中一个进程的CPU占用率达到了93%,而进程并不是系统相关程序,而是此前就已出名的挖矿病毒xmrig啊。
而它狡猾的把cpu使用率上限设定为了80%,只是这次不知怎么暴露了。
打开映像的路径,查看其属性,具体在2018年就被创建了,也就是病毒已经在他的服务器上潜伏了两年多,伪装的够深的。
通过日期用Everything去找相关文件,更是惊人,有vbs脚本和registry文件。
详细来看看这就个文件吧:
各个阴险狡诈。😠
vbs文件是用来启动进程的,就是刚刚在任务管理器里发现的那个,而registry文件是放到任务计划里的,双保险确保任务一直在执行。
鉴于这些情况,服务器一定是被远程执行了代码,遂查看了他的服务器防火墙,居然是关闭的,服务器的操作系统也不是最新的,而公司内网也没有一个正规的硬件防火墙,所有这些造成了病毒有机可乘。
没有评论:
发表评论