个人腾讯服务器挖矿木马溯源
被恶意软件,分发后门木马,建立影子用户,还被挖矿的一天
前言:腾讯买的超小型服务器,用来自己玩的,也没下防火墙没有防火墙日志,没注意下了个带后门的软件phpstudy.exe
1.微步沙箱扫描是这样的!!!
2.先查一下都有谁登陆了,是不是被搞了!!!
query user
3.发现影子用户!!!
4.进入用户文件夹下很随意的给我放了一个挖矿软件!连名字都不改那种!
" class="reference-link">5.更过分的是->
Cpu都给我拉满了???
6.首先打开任务管理器杀死进程
7.溯源
控制版面->windows日志-> 安全
通过时间点 寻找 4776 凭据验证
顺着时间线往下寻找日志记录 详细信息中可能会记录登录人ip
溯源ip成功,但是通过nmap扫描对面只开放了3389端口!!!其他全部关闭,暂时还没办法!!!也不知道是不是弱鸡哎,难办
8.然后下个了火绒,查毒,清理了一波木马,打开日志30天保存.坐等下一波.
好兄弟们,路过的顺便给点个赞吧,缺金币啊!
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 天使v | 0.80 | 0 | 2022-03-14 13:01:26 | 一个受益终生的帖子~~ |
| Track-劲夫 | 60.00 | 0 | 2022-03-12 21:09:34 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
技术文章
Track-劲夫
发表于 2022-3-11
坐等下一波
评论列表
加载数据中...
by盛夏
发表于 2022-3-11
坐等下一波
评论列表
加载数据中...
heiyu
发表于 2022-3-13
牛逼
评论列表
加载数据中...