新换公司-记一次所罗门挖矿处理
前言
刚入第二天,就接到网站管理的推广经理钉钉,公司阿里云服务器有挖矿告警。
首先拿到用户和密码上去一看,windows服务器。。。
1.想任打任务管理器查看进程 ,报错打不开
2.问了下度娘,找到个命令resmon,终于可以看到资源占用了。CPU占了50%,
3.结束进程,又起来了。。。
4.这才想起去看日志
观察了下,一结束进程,日志就有这个记录。
Service Networkmsm action for exit code 1 is Restart. Attempting to restart C:\WINDOWS\Fonts\Svchost.exe.
在C盘死活找不到这个程序Svchost.exe
只有上CMD看了,dir /a 没看到Svchost.exe 倒看到了winlogin.exe 。。。
5.想删除的它,但是报拒绝,肯定有服务在启动它。又回去研究下日志,发现一个服务名称不对劲。Networkmsm 就只有首字每大写和其它服务名规则不通一,没有采用大骆峰。
6.就它了,把服务一停。CPU马上下来了。。。 心理舒坦了。现在要做的是清除服务,删除文件
清服务cmd:sc delete Networkmsm
删除文件(记得以管理员身份):del winlogin.exe
7. 正常资源图
结束语
虽然删除的病毒,但是咋进来的不知道。后面会不会进来心理打鼓(已交代运营升级服务器为阿里的企业版。)