记一次window服务器木马排查（后门植入挖矿程序）

Posted 2020-10-04

1，新项目需要一台windows服务器，安装所需环境和服务后，发现服务器资源不足无法运行，查看任务管理器，发现可疑程序占满了CPU

通过百度发现，这个一个挖矿程序，显然是被后门植入了矿机，果断杀掉进程，删掉文件

第二天，发现CPU又被挖矿沾满，经过分析，这个后门程序，和系统的svchost.exe很像，删除过后一直自动新建出来。

通过一个一个的排查进程，发现一个可疑进程，和程序，经过仔细的对比了解，可疑判断这是一个后门木马

     由于服务器跑的服务比较多，不能开防火墙，只能选择第三方防护软件，综合对比了一下，决定使用安全管家，准备在防护软件保护下，

开始手工清理木马，

    首先，结束挖机进程，发现会自动新建进程，然后，结束可疑木马程序，再结束挖机程序，没问题，可以正常结束，使用电脑管家扫描这个文件

window木马伪装及权限问题，手工清理很难清理干净，所以这里我还是选项防护软件进行扫描，清理木马并重启，OK

     

本文出自 “我的运维成长之路” 博客，请务必保留此出处http://maicos.blog.51cto.com/10433789/1958915