处理公司教育网服务器木马

最新推荐文章于 2024-01-02 13:58:30 发布
最新推荐文章于 2024-01-02 13:58:30 发布
阅读量137 收藏
点赞数
分类专栏: 安全运维 服务器运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130086/article/details/84616071
版权

2017-04-06 11:36:41

是这样的,这是一台教育网的服务器,私有地址,但是能访问外网,具体路由就没去管。

去年4月份电教馆(这台服务器放在电教馆机房)看机房的说我们这台服务器在攻击其他服务器,然后我们公司的技术就装了个安全狗,(具体也没什么设置,我感觉是为了心里安慰)就没管了,然后这服务器时不时的就抽风,断网(ping不通,远程连接超时)

我昨天来这边接手这台服务器,中午12点左右就断网了,之前的技术说经常发生,不用管,下午就好了,下午2点过,还是没恢复,就给机房那边打电话,重启一下,重启后,马上能用,但是没过多久又断网了,所以我怀疑是有问题,今天早上我就远程上去看看,问题情况:

1、任务管理器打不开,上传一个自己本机的任务管理器也打不开(Server:2008r2d,client:win8)。

2、隔一会就卡,不知道是本地网络问题还是服务器问题。

3、从日志上看,11点到1点没有任何报错警告,只有个WMI RServer Adapter警告(是应用程序),而且这个报错是11点59,我们12点连服务器的时候就连不上了。

4、然后C盘很多vbs脚本,内容我看了下,都指向了C:\Program Files (x86)\Common Files\NT\smetts.exe,然后我就进去看了下,主要是百度也百度不到这个程序的信息,然后我就google下,到了virscan.org这个网站,然后我把这个smetts.exe丢上去扫描了下,大部分杀毒软件扫出来是木马或者后门。

5、我就基本确定是木马,然后准备去删除这个文件,但是删除的时候提示WMI RServer Adapter这个服务启动了这个进程,无法删除,我感觉是木马的概率更大了,在服务里找到WMI RServer Adapter,但是不能关闭,只能禁用了再重启,然后我就用cmd 把进程强制关了,再删除。。。

6、最后再全盘扫描整个程序,没有发现残留。

基本解决,hacker是怎么进去的还不知道,毕竟一年前的事了,当时又不是我处理的,只有再观察一段时间,最好是重启一次看木马还会不会再产生,因为服务器使用率很高,暂不重启。

Jin9xiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器被黑客入侵了怎么办?
PAINzw的博客
12-25 1898
服务器被黑客入侵了怎么办? 遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理。 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教~ 如上图,将服务器安全应急响应流程分为如下8 个环节: ·发现安全事件(核实) ·现场保护 ·服务器保护 ·影响范围评估...
阿里云服务器好不好
weixin_68810814的博客
08-18 505
阿里云
Linux服务器被入侵之后的处理方法
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-13 1716
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)—现场保护–服务器保护—影响范围评估—在线分析—数据备份—深入分析----事件报告整理 各阶段说明 核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等
服务器分级保护
Pert的博客
10-27 795
等级保护介绍 什么是等级保护? 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是****对信息系统特别是对业务应用系统安全分等级******、******按标准进行建设、管理和监督。****国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 为什么要开展等保工作? **通过等级保护工作发现单位信息系统存在的安全隐患和不足,.
服务器开发系列(四)——网络基础
oruchimaru0420的博客
10-14 2855
服务器开发系列文章之网络基础
网络协议分析论文——木马的原理及其防范
最新发布
qq_68920288的博客
01-02 1209
网络协议分析在当今信息化社会中扮演着关键的角色,随着互联网的不断普及和应用,网络安全问题变得尤为重要。在这一背景下,木马作为一种具有潜在破坏性的恶意软件,对网络安全构成严峻威胁。了解木马的原理和防范方法对于保护个人隐私、维护网络安全至关重要。木马源于古希腊神话,是指希腊人通过制造一个巨大的木马送给特洛伊人,从而成功侵入特洛伊城。在计算机领域,木马也是一种欺骗性的恶意软件,通过伪装成合法程序或文件的方式,骗取用户信任,进而潜伏于系统中。
当今网络的基本情况
m0_48638643的博客
07-25 624
本篇文章介绍了网络表示方法和网络拓扑、常见网络类型、Internet连接、可靠网络、网络趋势、网络安全这些内容。
教育行业数据防泄密解决方案
a15995989443的博客
03-08 678
行业背景 信息化已经成为当今社会发展的必然趋势。网络作为教育行业信息化的一项重要内容,不仅能够帮助学校快捷地实现信息检索、信息发布和信息交流,同时还能够直接帮助教师,为教学、管理、科研服务。信息化是教育跨越式发展的助推器。教育行业担当着为国家输送掌握信息技术合格人才的重任,而信息化教育则是获取新知识最快捷、最高效的手段。 需求背景 随着教育信息化的深入,越来越多纸张上的数据向硬盘存储和网络变革,无论学籍档案、成绩管理、教职员工信息,还是学术文献资料,这些教育关键数据都在向IT系统转移。大到国家级别的教
网络概念1
2302_80184239的博客
10-12 67
了IP的路由功能,其优化的路由软件使得路由过程效率提高,解决了传统路由器软件。化4个SFP光口,同时支持2个扩展插槽,最多可支持4个XFP万兆端口,或4个。SFP千兆端口,AC+DC冗余电源组合供电,特别符合教育、政府、中小企业等。快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到。对于数据包转发等规律性的过程由硬件高速实现,而像路由。功能:可实现网站访问、BBS/留言、网络游戏、下载、各种股票流量、即时。即时通讯、网络传输、P2P应用、网络游戏、股票软件、网络电视、音视频流。
服务器上的木马怎么清理.docx
12-17
以下是一份详细的清理服务器木马的步骤: 1. **初步诊断**: 当服务器运行变慢,CPU和内存占用率异常增高时,首先应使用`netstat -ntlp`检查端口占用情况,以排查是否存在可疑连接。如果命令被屏蔽,这可能是木马...
浅谈校园一卡通网络的补丁更新服务器.pdf
11-30
总之,校园一卡通网络的补丁更新服务器是确保系统安全、防止病毒和木马攻击的关键。通过合理选择和实施补丁管理策略,网络管理员可以有效提升网络的整体安全性,保障广大师生的工作和学习环境。
解决全部网页木马的技巧
12-01
网页木马,特别是基于JavaScript()...总的来说,解决网页木马问题需要多方面的努力,包括技术手段和用户教育,以确保网络环境的安全。通过持续学习和适应新的威胁,我们可以更好地防御这类攻击,保护用户的信息安全。
网络攻防技术-复习试题(一)试题及答案.pdf
12-02
16. 木马的**服务器端**通常放置在被控制的计算机上,而**客户端**则由攻击者控制。 17. 进行网络嗅探时,服务器的网卡需设置为**混杂模式**,以接收所有网络流量。 18. **拒绝服务攻击**(DoS)会使服务器充斥...
360网络连接查看器
01-09
2. **安全评估**:分析连接的安全性,标记出可疑的连接行为,如未经用户许可的后台连接、高风险的远程服务器通信等,提醒用户注意。 3. **连接阻断**:对于疑似恶意的网络连接,用户可以通过360网络连接查看器进行...
mysql修改数据库名的方法
jin9xiao的博客
09-19 9382
1.通用方法: 指的分别在MYSIAM引擎和INNODB的下 备份还原,安全稳定,数据量大的时候会花很多时间 先将数据库备份,然后再还原到新数据库 2.MYSIAM下 直接在数据库文件目录下修改对应数据库目录的名字 此方法未测试过 3.INNODB下 3.1 rename database RENAME database olddbname TO newdbname 此方法不安全,官方也不推荐,本人也未验证。 3.2 rename table … to … 通过此方法写了个脚本 #!/bin/bash m
mRemoteNG往服务器上复制粘贴不工作
jin9xiao的博客
03-23 4650
在使用mRemoteNG的时候时不时会遇到,因为之前很少直接复制文件就没去处理,后来服务器多了,复制小文件不用mRemoteNG.exe 会很麻烦,今天又遇到了,百度是上没有解释,然后就爬到google,上搜索mRemoteNG+copy最后找到解决方案了 解决方法: 打开任务管理器,在进程中找到rdpclip.exe,结束进程 然后再新建一个进程,rdpclip,就行了。 原因: 大概...
Centos7做软RAID5详细步骤
jin9xiao的博客
07-28 3259
1.添加硬盘 这里我添加了6块1G的硬盘做实验,具体作用如下: 4块做RAID5,1块做RAID5的备用盘(如果RAID5其中一个硬盘坏了,就备用盘会自动替换坏的硬盘),1块实验备用盘 添加好硬盘后,需要重启服务器才能在/dev中看到相关硬盘的信息,如果是热插,需要用下面命令刷新硬盘信息: [root@localhost a]# ls /dev/sd* --查看硬盘信息,可以看到6个硬盘没有显示出来 /dev/sda /dev/sda1 /dev/sda2 [root@localhost a]#
sql server 2012安装、升级折腾记录
jin9xiao的博客
06-01 2992
公司业务需要将现有的sqlserver2005,升级到sqlserver2012.然后就开始折腾 windows server 2012 + sql server 2012: 1、windows server 2012 装好以后,先自动更新补丁 2、待补丁更新好以后,再在程序》打开关闭windows功能,开启.net3.0 3、建议先安装vs2010,再升级vs2010sp 4、再安装s...
网络信息安全系统竞赛试题及答案:攻击类型、防御方法和认证方式。
1. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?(A)A、拒绝服务 B、文件共享 C、BIND 漏洞 D、远程过程调用 2. 为了防御网络监听,最常用的方法是(B)A、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值