记一次Windows Server2008木马清理过程

最新推荐文章于 2023-04-11 15:39:26 发布
最新推荐文章于 2023-04-11 15:39:26 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpwmm/article/details/92839709
版权

事件描述

oVirt虚拟化平台上跑的几台Server08的服务器最近总显示CPU爆满,任务管理器中看到有好多powershell.exe的进程,可是跑的服务中跟比没有需要调用powershell的,肯定有问题.用火绒剑查了一下网络:

尼玛这几个IP是日本\韩国\美国

怒了! 但是用火绒扫了一下居然没发现问题(其实也不意外...也没指望杀毒软件能咋地)

搜了下巨硬公司自己提供了一款安全检查的工具,100多M呢,看来是内置了大量的特征库.

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

扫了一下查出来了:

重启,恢复正常~

抓紧更新一下系统补丁:

https://support.microsoft.com/en-gb/help/4503292

下载最新的月度汇总补丁包集合:

https://support.microsoft.com/en-gb/help/4503292

DexterLien
关注
专栏目录
木马病毒清除方式
Sumarua的博客
07-11 3856
​紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。 执行方式: 清除方式: 安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。删除恶意的dll文件 直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 779
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
Windows server 2008故障集群退出节点,添加显示“无法成功清理”问题处理。
未来村长的博客
01-28 933
目录一、如何退出集群二、加入集群三、无法正常加入集群,显示“无法成功清理”。 一、如何退出集群 1.退出集群选择回收节点,不回收节点旧节点依然存在,无法完全删除。 2.为了彻底删除集群,建议在其他节点及退出的服务器节点上通过命令清理下集群。 cluster node servername /force 下面这条命令慎用,因为我试过,如果是正常在集群环境内的,用这条命令清除,会导致本服务器集群节点出故障。 cluster node /force 二、加入集群 1.正常来说,是可以在任何一台正常的集群节点
一次Windows Server 2008 服务器被植入挖矿木马处理
a18218401470的博客
01-14 1990
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
WINOWS server2008 安装microsoft windows 恶意软件删除工具 (kb890830)
蚂蚁哥的博客
08-16 9748
  WINOWS server2008 安装 microsoft windows 恶意软件删除工具 (kb890830)老是失败,我们服务器都是打开了自动更新,但是它从来没有安装成功过这个补丁,于是考虑手动安装下.安装后服务器的安全性应该会有所提升把 远程链接服务器,在服务器上打开网址:https://www.microsoft.com/zh-cn/download/malicious-soft...
WindowsServer2008下的安全防御
滴水成河,汇流成海
03-14 992
 1、让系统处于数据执行保护中  与传统操作系统一样,Windows Server 2008系统仍然内置了数据执行保护功能,以便预防网络病毒或其他安全攻击对服务器系统造成威胁;然而,很多朋友发现该功能时常会破坏某些应用程序的运行稳定性,于是自作主张地将系统自带的数据执行保护功能关闭了,那样一来服务器系统遭遇网络病毒袭击的可能性自然也就增大了。其实,在Windows Server 2008服务器系统
绕过杀软(二)——免杀exe文件(360、火绒免杀)
热门推荐
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
windows万能修复工具
06-07
在日常使用Windows操作系统的过程中,我们难免会遇到各种问题,如系统蓝屏、启动错误、程序无法运行等。为了解决这些困扰,"Windows万能修复工具"应运而生。这款工具集成了多种修复功能,旨在帮助用户在不重装系统的...
Windows 7
wangpeixi2010的专栏
03-31 4315
系统简介   系统名称:Windows 7  核心版本号:Windows NT 6.1  开发代号:Blackcomb及Windows Vienna  测试历史:  2007年12月20日 :windows 7 Milestone1(build 6519.1)  2008年12月12日 :windows 7 beta(build7000)  2009年 4月 9日 :w
脚本木马扫描器.zip
01-08
【脚本木马扫描器.zip】是一个包含多个组件的压缩包,主要针对计算机中的脚本木马进行检测和清理。这个工具集成了多种文件,包括源代码、可执行程序、图标资源以及配置文件等,旨在提供一个全面的解决方案来保护用户...
服务器进程专杀
01-22
有些进程就和病毒一样,没法删除,用此工具就可以解决。
windows server服务器杀毒软件推荐
最新发布
weixin_40191861的博客
04-11 2137
服务器安全狗拥有强大的漏洞安全库,可以帮助用户进行有效的系统漏洞修复,同时一键检测系统问题修复也可以帮助用户轻松解决各类底层问题,即使小白也能轻松做好服务器安全。通过服务器安全狗可以准确的查杀网页挂马,让各类木马病毒无所遁形,各类畸形文件的攻击服务器安全狗都能得心应手的一一进行处理。服务器安全狗拥有三层网络防护,可以实时检测ip和端口的访问合法性,保护您服务器的网络安全。服务器安全狗软件,专注服务器安全,老牌安全厂商出品值得信赖。
【小迪安全】web安全|渗透测试|网络安全 | 学习笔-10
youngerll的博客
01-03 2171
【小迪安全】web安全|渗透测试|网络安全 | 学习笔-10
linux和windows木马排查思路
qq_40770143的博客
10-23 2375
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查杀,发现木马进程。 2、procexp....
Linux服务器中木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 4913
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
无意间发现我的一台云服用器中了矿机xmrig的毒,再续!!
kevin的博客
06-14 7260
接上无意间发现我的一台云服用器中了矿机xmrig的毒,续!! 今天主要是跟大家同步一下昨天处理的结果,哈哈! 截止到我发稿,没有看到矿机再运行!!! 再分享一个禁用root 远程登录的方法(用其它用户su过去): $ sudo vi /etc/ssh/sshd_config Find PermitRootLogin and set to no: PermitRootLogin no...
删除服务器木马
智障儿童欢乐多
11-01 1398
删除服务器木马 文章目录删除服务器木马一、木马症状二、分析1 查看该进程打开的文件2 查看进程的环境变量/proc/$pid/environ3 查看定时文件三、解决四、命令总结1 sar2 ss3 crontab 一、木马症状 输入top命令后,发现某不知名进程ld-linux-x86-64占用全部CPU,该进程很可能是木马 二、分析 1 查看该进程打开的文件 lsof -p pid (70056) 通过进程号显示该进程打开的文件 lsof -p 70056 COMMAND P
Windows server 2008 R2 服务器系统安全防御加固方法
花落花开,春去秋来!
12-27 1万+
一.更改终端默认端口号 步骤: 1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM
linux服务器 木马 处理,linux 服务器中木马木马清除
weixin_31440829的博客
04-28 1224
Tech Neo技巧沙龙 | 11月25号,九州云/ZStack与您一路商量云时代收集界线治理实践一、背景晚上看到有台办事器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感到应当是中木马了,被人当做肉鸡了,在大年夜量发包。我们的办事器为了最好机能,防火墙(iptables)什么的都没有开启,然则办事器前面有物理防火墙,并且机械都是做的端口映射,也不是常见的端口,按理来说应当是满安然...
Windows Server 2008 R2自动重启故障排查与木马清除策略
本文主要讨论了Windows Server 2008 R2服务器无故自动重启的问题及其解决方案。当用户登录该服务器后,无论进行何种操作,服务器都会在短时间内自动重启,这给日常运维带来了困扰。首先,为了解决这个问题,作者建议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DexterLien

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值