Windows服务器中挖矿病毒排查指南
2023-4-26 00:2:1 Author: 橘猫学安全(查看原文) 阅读量:19 收藏

Windows服务器中挖矿病毒排查指南
注释:本文章适用于Windows服务器中挖矿病毒排查
文章背景:服务器运行中发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。
排查步骤:
1. 检查异常端口、进程
A. 打开任务管理器,查看CPU异常达到90%的进程程序
注意:如果客户再工程师排查前,为了不影响服务器,已经结束了异常进程。那么我们排查就不能通过查看异常CUP进程,来锁定危害文件。
B. 通过排查到的异常进程,查看异常进程的程序文件
查看文件属性,看是否是系统自身文件还是非系统自身文件。有微软标签的属于系统文件,没有微软标签属于非系统文件【对排查到的疑是危害文件必需同客户确认文件真实情况,并向客户确认删除后,才可以进行删除】
2. 检查系统启动项、计划任务、服务
C. 看是否有异常开机启动项
注意:同客户确认启动项真实性来判断异常启动项
通过查看以下注册表的位置,检查启动项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run*
D. 排查服务器任务计划,看是否存在异常任务计划
注意:排查过程中遇到执行shell的任务,向客户核实确认任务真实情况
根据客户反馈的信息,对可疑任务进行处理。【禁用、删除】处理同客户确认后再执行操作
【控制面板】-【管理工具】-【任务计划程序】
关注任务创建者用户和描述,来分析是否是异常任务计划
E. 排查系统服务是否存在异常服务
注意排查过程中遇到可疑服务,同客户确认后再做处理
【控制面板】-【管理工具】-【服务】
一个小技巧:若客户服务器是中文语言,那么可以首先重点关注英语描述的服务
3. 日志分析
F. 通过事件查看器,排查服务器的【安全】和【系统】日志
查看是否有异常行为日志,根据异常行为日志判断服务器存在的危害
【控制面板】-【管理工具】-【事件查看器】
【安全日志】关注日志产生时间、审核行为、网络登录类型
4. 检查系统账号安全
G. 注册表检查系统账号
注意:需同客户确认系统账号真实性,再判断处理
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
注意:SAM需用获取完全控制权限,才能打开后面的目录
5. 自动化查杀
H. 使用两款杀毒软件,进行全盘杀毒
注意:安装其他杀毒软件,须得客户同意才可以安装,对于杀毒软件扫描到的可疑文件,需要判断后才可以进行删除,删除必需获得客户同意才可以处理。
6. 收尾排查
I. 全盘排查确定的危害文件
对于确定的危害文件,可以对危害文件进行一次全盘搜索,看其他位置是否存在危害文件
排查步骤:
1. 检查杀毒软件安全日志
A. 通过杀毒软件的异常安全日志锁定危害文件位置
关注:恶意网站拦截类型告警,查看【操作进程】【操作进程命令】来锁定恶意文件
2. 参照场景一的步骤1开始排查至步骤6
netstat -ano //查看系统的网络连接情况
tasklist /V |findstr "PID号" //查看PID的运行程序文件
wmic process get caption,commandline /value >> tmp.txt //分析全部进程参数
内容来源:微步在线

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247507804&idx=2&sn=61dafd5509471216cf82c8806519af41&chksm=c04d5862f73ad1749ed2f30ee610cd9ac6a0f1942c64314bb21f863050c7d26537168f2a297b#rd
如有侵权请联系:admin#unsafe.sh