入侵排查
收到看到云安全中心的挖矿告警,一看凌晨00:55就入侵进来了
再看另一条,说了创建用户,顿时感觉不对劲
说的是这个进程(C:/Windows/Microsoft.NET/Framework/v2.0.3212/AddInUtil.exe),但是一看,文件夹是空,打开了隐藏也是空
看文件夹的创建时间,这不就对上了吗
赶忙看看账户,多出来一个账号ASP.NET,抓紧时间跟业务确认这个账户,业务反馈没用过,立马禁用
再一看日志,就几百条?而且上来就执行了日志清除?
好在这台服务器的3389设置了白名单,而且也装了火绒,目前对外的也就是web了,所以大概率是通过web的像是IIS、framework之类的漏洞进来的
清理木马
删除这个账号不久,CPU就下来了
但是过一会后,CPU立马又起来了
火绒杀毒,毛也没发现,而且这次攻击,自始至终,火绒都没有日志,日志也被清理过?难不成火绒被完美绕过了?
但是CPU还在高涨
而且还是这个任务管理器都查不到的“消失的进程”
进程又查不到,杀毒也杀不到,也没什么思路
突然想到一直都没有很好利用过的火绒剑,果断上火绒剑试试,发现了两个很奇怪的服务,wupserv和WMI Performance Adapter,安全状态是未知文件
尤其是WMI Performance Adapter,伪装的真的好,和windows的一个服务名称一样,我还查查我电脑上这个服务,最后发现简介不一样,还是露出了zhiyin脚,而且如果是windows的系统服务,怎么可能是未知文件
最后把这两个服务禁用后,再重启,CPU恢复稳定,云安全中心也没再告警了,后续要修复应用上的漏洞了