1、根据态势感知平台找到可疑IP,对可疑IP进行封闭。
2、使用Everything等软件找到近期可执行文件。
3、在任务管理器中查看可执行文件是否运行。
4、根据PID看网络连接情况。
netstat -na -o |findstr 656
wmic process get name,executablepath,processid|findstr 4436
tasklist|findstr "4436"
taskkill /f /t /im SogouCloud.exe
5、将发现的可疑源或者目的IP在FW封堵。
6、结束该进程,并找到对应文件删除。
7、使用WebShell工具找到可疑(如.txt;.php)文件并删除
8、使用net user找可疑账户。
9、看该账户的说明,什么时候创建的,判断是否可疑,再删除用户。
10、溯源处理。