记录一次被挖矿程序植入，解决问题并布置预防

阿里云提示   被挖矿程序攻击

远程连上阿里云之后，发现某一程序占用cpu资源过高，该应用名为win1ogon.exe，进程转到详细信息页，选中该进程

win1ogon.exe

右键选择结束进程树，然而关掉之后，仍然存在

猜测该应用被转成服务

接下来进入windows管理工具>服务   点击在运行的服务查看

排查过程的顺序是，首先排查正在运行，其次排查状态为空，双击进入属性

发现被伪装成Windows_Updata的挖矿服务

查看可执行文件路径，找到可疑路径与挖矿程序路径一致的服务，找到该程序

 

 找到该程序时，发现1sass.exe  是被伪装成lsass.exe的转服务程序

通过该程序执行  remove <service name>

删除掉该服务，然后清理掉目录C:/windows/debug/m/

矿机程序排除完毕。

发现该矿机是通过新增administrator$用户远程连接的

然后就是删除administrator$用户，并在windows管理工具中>计算机管理>本地用户和组中禁掉administrator（默认管理员，谨慎处理）

 

再然后，就是限制3389端口的远程访问，打开防火墙，找到远程连接3389端口，设置访问白名单，只允许公司网络访问（也可以通过修改3389默认端口规避）