Powershell无文件挖矿查杀方法

Posted 御用闲人

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Powershell无文件挖矿查杀方法相关的知识,希望对你有一定的参考价值。

病毒现象

  1. 服务器出现卡顿、CPU飙升
  2. 和其他主机的445端口,建立起大量的连接
  3. 存在大量Powershell进程

病毒处置

  1. 封堵445端口; 或打永恒之蓝漏洞补丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/)、加强主机密码且密码各不相同。

  2. 在AF等设备添加规则,限制访问下列域名和IP:
    web4.olukotun.info
    update.7h4uk.com
    info.7h4uk.com
    d4uk.7h4uk.com
    111.90.145.52
    185.234.217.139

  1. 使用Autoruns,删除Powershell的WMI:
    技术图片

  2. 使用Autoruns,删除任务计划 WindowsLogTasks 和 System Log Security Check。
    技术图片

  3. 使用ProcessHacker,结束如下进程(选中后,右键点击Terminate即可结束进程):
    a. powershell.exe进程
    b. regsvr32.exe进程
    c. cohernece.exe进程
    技术图片

  4. 以上步骤结束后,使用杀软全盘查杀病毒文件

以上是关于Powershell无文件挖矿查杀方法的主要内容,如果未能解决你的问题,请参考以下文章

WannaMine4.0查杀方法

服务器管理Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python

Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh

查杀守护进程

win10用power shell安装appx文件怎么改安装路径

powershell 更新power shell中的帮助系统。第二个文件在Windows中显示帮助文件。第三个文件显示来自在线来源的帮助。