king

Windows系统被挖矿了怎么排查以及处理

king windows 2022-06-07 2379浏览 0

挖矿程序(Windows系统)

措施排查和处理方法:

执行以下命令,通过CPU占用情况排查可疑的挖矿进程。

ps | sort -des cpu
While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

执行以下命令,查看挖矿进程的磁盘文件、进程启动命令的参数。

wmic process where processid=xxx get processid,executablepath,commandline,name     //xxx表进程pid

结束挖矿进程,清除挖矿文件。

执行以下命令,检查主机连接的可疑网络端口。

netstat -ano | findstr xxx            // xxx 表可疑的网络端口

执行以下命令,检查服务器中hosts文件是否存在挖矿程序的矿池地址。

type  C:\Windows\System32\drivers\etc\hosts

执行以下命令,排查是否存在挖矿程序设定的计划任务。

schtasks /query

挖矿程序为了最大程度获取利益,会存放大量的持久化后门,导致病毒杀不死或难以清理。


继续浏览有关 windows 的文章
发表评论