公司的数据库服务器上有毒,一直没太在意(因为没有人在意,创业公司,问题不严重就没人管)。
今天遇到点问题,就顺手把服务器上的毒清了吧。
快捷键win+ R,打开cmd
输入netstat -ano查看端口状态
etablished表示正在使用的,其他的不管,UDP协议的也不管
打开百度,搜索IP,查看ip归属地
发现176.9.147.178是国外的ip,这个就是攻击者的ip了,后面1820是进程ID(PID)
打开任务管理器,进程tab选择菜单栏的查看,选择列,勾选pid
找到对应的pid,右键该进程update.exe,打开文件所在目录
发现没有update.exe,菜单栏组织-文件夹和搜索选项-查看,
发现文件
上面的是日志文件,打开看看
搜索下minergate,原来是挖矿程序
搜索下nssm,是个系统服务管理工具
看下update.bat
1.脚本把update.exe设置成了系统服务system_update,把服务删掉:
sc命令好像被禁了,那就用攻击者的工具吧,在当前目录下,输入nssm remove system_update ,点击确认,移除
2.进程中查找程序,如果没有启动就启动服务
3.递归设置文件夹隐藏属性,这个文件夹没有找到,是不是安装完清掉了
4.不允许账户强制注销
5.提供注册表修改远程终端连接配置,不知道这里什么用意...
6.提供注册表设置文件夹选项,设置不显示隐藏文件
7.设置当前目录的所有文件为系统和隐藏属性
8.删除本脚本,自己删除自己,失败了吧
删除服务和程序,貌似没其他了吧,先用着看看。