Windows系统被挖矿了怎么排查以及处理

king windows 2022-06-07 2318浏览 0

挖矿程序（Windows系统）

措施排查和处理方法：

执行以下命令，通过CPU占用情况排查可疑的挖矿进程。

ps | sort -des cpu

While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

执行以下命令，查看挖矿进程的磁盘文件、进程启动命令的参数。

wmic process where processid=xxx get processid,executablepath,commandline,name     //xxx表进程pid

结束挖矿进程，清除挖矿文件。

执行以下命令，检查主机连接的可疑网络端口。

netstat -ano | findstr xxx            // xxx 表可疑的网络端口

执行以下命令，检查服务器中hosts文件是否存在挖矿程序的矿池地址。

type  C:\Windows\System32\drivers\etc\hosts

执行以下命令，排查是否存在挖矿程序设定的计划任务。

schtasks /query

挖矿程序为了最大程度获取利益，会存放大量的持久化后门，导致病毒杀不死或难以清理。

继续浏览有关 windows 的文章