none
找出是谁在我的服务器上执行力powershell命令 RRS feed

  • 问题

  • 你好,我的服务器被攻击了,通过安全工具,有一些日志:

    操作进程:C:\Windows\system32\cmd.exe
    命令行:cmd  /c powershell -c Set-MpPreference -DisableRealtimeMonitoring $true;(get-wmiobject -class win32_networkadapterconfiguration -filter ipenabled=true).SetDNSServerSearchOrder(@('8.8.8.8','9.9.9.9'))
    父进程:C:\Windows\system32\cmd.exe
    防护项目:流行病毒
    执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    执行命令行:powershell  -c Set-MpPreference -DisableRealtimeMonitoring $true;(get-wmiobject -class win32_networkadapterconfiguration -filter ipenabled=true).SetDNSServerSearchOrder(@('8.8.8.8','9.9.9.9'))
    操作结果:已阻止

    我推测,这些命令是其他感染了病毒的服务器通过WRMAN远程在我的服务器上执行的。我怎么能找出这个感染了病毒的服务器。有什么途径么?


    ...

    2020年4月29日 1:53

全部回复

  • Hi,

    该命令主要由配置Windows Defender扫描和更新的首选项(-DisableRealtimeMonitoring 参数指示是否使用实时保护, 如果您指定$ False的值或不指定值,则Windows Defender将使用实时保护。,我们建议您启用Windows Defender以使用实时保护)和设置DNS服务器搜索顺序组成。

    根据您的提问,我们建议您可以通过两个方向获取被更改(被感染)的服务器。

    第一个方法是通过Set-MpPreference -DisableRealtimeMonitoring $true这个参数,您可以通过远程查找该属性为true的服务器并将他们格式化为一张表格的方法,获得被感染的服务器列表。

    第二,我们建议您可以通过查找'8.8.8.8','9.9.9.9'的服务器搜索顺序定位被感染的服务器,通常来说,如果修改成功,网络可能会出现问题。

    希望能够帮助到您。

    祝好,

    Young Yang


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年4月29日 6:48
  • 感谢回复,我知道这些ps是在做什么。你也提到了一种思路去检索有症状的服务器。是否有其他的方式,比如事件日志中记录远程执行者?

    ...

    2020年4月30日 3:56