服务器被当矿机的问题处理实战-.exe
服务器最近比较卡,调开任务管理器查看,CPU占用偏高,发现进程 .exe,占用CPU 75%:
通过pid查询,该进程通过向陌生IP 163.172.226.218的7777端口发送数据,应该就是挖出来的比特币算法一类的数据 。这个陌生IP是个英国的IP,涂红的IP是我服务器自身的IP地址:
异常进程会通过.exe 引导,这个.exe文件为隐藏了的系统文件,正常打开还看不到,需要打开相关文件夹权限才能看到:
csrss.exe是负责启动挖矿程序.exe,可以理解成守护进程, 如果进程挂掉,会自动启动 。挖矿程序可能是用开源软件编译 。
下图中的文件都是隐藏系统文件,需要打开相关文件夹权限才能看到:
.exe在运行过程中生成了一些挖矿程序需要用到的dll文件:
注册表中也被修改,把csrss.exe伪装成系统服务,并随系统启动运行:
服务中查看这个异常的服务类别:
【windows服务器被当矿机的问题处理实战-conhosts.exe】处理方式:停止并禁用这个WMI服务,注意这个服务的可执行文件路径 。删除上述的异常文件 。
- Windows 系统下实现间接命令执行
- 南充一中计算机机房被盗,小区放在地下机房18万电缆被偷 案发当晚监控失灵
- 汽车上云,“新四化”建设中被忽视的重点
- ecs云服务器 阿里云
- CAD软件出现致命错误被迫结束运行该怎么办?
- vs2019项目部署到阿里云服务器与iis配置
- SQL 两个表格交互,字符串合并,并且摒除相同的字符串,被除数为0等问题
- 被折磨致死的heroku——herku部署
- 无线ad服务器有必要吗,11ad无线路由器来了!但建议等等再买
- 2020年Java篇:蚂蚁金服,这10个经典又容易被人疏忽的JVM面试题