运气好得不得了,又被挖矿了,而且这次完全没有头绪。简单说下目前掌握的信息。1.父进程是svchost.exe-knetsvcs。父进程svchost启动的挖矿进程是svchost.exe。指向的地址是http://91.121.2.76:80直接在浏览器中访问的话能看到pool.minexmr.com030418onlineid11010002.杀进程不起作用,过一会会自动启动。3.杀毒扫不出任何
新年伊始,所在公司运气值飙升,受到了powershell挖矿攻击,占cpu75%,而且传播速度很快,大有泛滥之势。看进程都是混淆过的代码。以前都靠的杀毒软件,这次都不好用了,趋势完全没反应,360在被攻击时才有提示,但提示的是cmd.exe,而且只有部分机器装了360。杀软指不上了,看来只能自己手动了,不过没有类似经验,真有点不知何从下手。好在有点powershell的功底,第一步,先解析了下混淆
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号