none
最近遇到一个棘手的powershell挖矿病毒问题 RRS feed

  • Question

  • 我的服务器多为2008R2、2012R2,现遇到挖矿病毒的攻击

    1、会自动生成powershell文件,并挤爆CPU

    2、强行修改DNS为8.8.8.8

    3、会自动生成计划任务

    我采取的措施

    (1)更新最新补丁且之前已打过17-010的补丁、关掉共享(无效)

    (2)安装360安全卫士,粉碎c:\temp里的 m6.bin/if.bin/m6.bin.exe 等病毒文件,自行拦截自动运行的powershell

    (3)更换强密码(无效)

    (4)使用autorun清除掉疑似的计划任务(如blackall)(无效,仍会自动生成)

    (5)参考https://www.cnblogs.com/zuoan104/p/11422584.html,打开wbemtest检查是否有在内存的病毒

    

    最近安装了360之后,遇到了一些生产上的环境问题,此时需要卸载,但卸载过后,有部分服务器会复发自动生成powershell+强改DNS,请问有什么适合的解决方法

    Thursday, May 21, 2020 3:31 AM

All replies

  • 您好,我也遇到类似的病毒,会在C:\Windows\ServiceProfiles\MSSQLSERVER\AppData\Local\Temp目录下生成一些执行程序,其中有m6.bin.bin.exe。我把这些执行程序删除之后,还会生成,我把任务计划里面的也都删掉了,可还会执行powershell脚本。wbemtest里面我没有找到那两项,请问您解决了么?
    • Edited by muse117 Wednesday, June 24, 2020 2:00 AM
    Wednesday, June 24, 2020 1:22 AM