香港正挂挂牌图

服务器被投诉对外攻击简单溯源

时间:2019-09-16

  今天接到一个问题,服务器被机房投诉对外攻击,要求24小时内处理,这个服务器才重装了没多久基本上就安装了一个apache和mysql其他环境都还没有来得及安装,是什么导致服务器对外攻击。

  远程到服务器上右键任务管理器,查看资源占用也不高,查看到一堆进程也不知道是干什么的,点击查看-选择性-将命令行和映像路径名称勾选上,

  在查看对应的任务管理器进程,现在可以查看到进程执行的命令执行和进程的文件,很容易在一堆web服务的进程中查看到两个异常进程dllhost.exe和Eter.exe。

  对应的进程执行命令这里就不分析了,净网2019丨国外朋友寄包裹给你?小心是骗局!。比较不是自己专业,等以后学习再来分析。看了一下对应的异常文件路径查看到这些异常文件都是win系统字体目录下程序,字体目录下正常是不会有这些程序,

  找到对应的进程后,先尝试一下结束该进程,结果发现结束不了,看样子有其他守护进程。先到对应的目录下查看一下,反向文件资源管理器无法打开该目录。没有办法使用最原始的办法cmd界面查看。使用cd c:\winowds\fonts目录下,使用dir 查看对应的目录,查看到您对应的存在一堆异常的执行文件和dll。

  找到对于的文件了,使用dir dllhots.exe /t:c 查看对于的文件创建时间,查看到对应的创建时间是7月5日11点,7月5日11点服务器当时还是网络不通的,机房反馈是磁盘问题,还给换了一块磁盘,到晚上23点后才能上服务器上操作,说明这个病毒文件应该是机房在安装操作系统或者环境的时候安装带入的。找机房解释说明,让他处理就是了

  由于本身逆向分析能力基本没有,没法继续分析下去了,但是当前机房又在催处理攻击,没法下载安全软件对服务器全盘进行一次查杀,推荐使用火绒安全软件,基本上上都说查杀出来,并且后期的防护也做的可以。



友情链接:

Copyright 2018-2021 香港挂牌彩图之全篇 版权所有,未经授权,禁止转载。