PowershellMiner无文件挖矿

1、病毒现象

（1）、服务器存在卡顿和外联异常IP等现象。
（2）、存在powershell.exe进程。

2、病毒处置

（1）、使用Autoruns工具（微软官网可下），选择WMI，将该WMI启动项删除（该项底部详细栏有“SELECT * FROM __InstanceModificationEvent WITHIN 5600”）。
（2）、打开“任务管理器”，将Powershell宿主进程杀掉即可。
（3）、修补漏洞：打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。
（4）、修改密码：如果主机账号密码比较弱，建议重置高强度的密码。

3、病毒详情

http://sec.sangfor.com.cn/events/107.html

posted @ 2020-02-28 21:10 御用闲人阅读(786) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

御用闲人

PowershellMiner无文件挖矿

公告