1,新项目需要一台windows服务器,安装所需环境和服务后,发现服务器资源不足无法运行,查看任务管理器,发现可疑程序占满了CPU
通过百度发现,这个一个挖矿程序,显然是被后门植入了矿机,果断杀掉进程,删掉文件
第二天,发现CPU又被挖矿沾满,经过分析,这个后门程序,和系统的svchost.exe很像,删除过后一直自动新建出来。
通过一个一个的排查进程,发现一个可疑进程,和程序,经过仔细的对比了解,可疑判断这是一个后门木马
由于服务器跑的服务比较多,不能开防火墙,只能选择第三方防护软件,综合对比了一下,决定使用安全管家,准备在防护软件保护下,
开始手工清理木马,
首先,结束挖机进程,发现会自动新建进程,然后,结束可疑木马程序,再结束挖机程序,没问题,可以正常结束,使用电脑管家扫描这个文件
window木马伪装及权限问题,手工清理很难清理干净,所以这里我还是选项防护软件进行扫描,清理木马并重启,OK
