英文站 - English

Mirai变种僵尸网络攻击预警

近期已发现多起长期未更新补丁的windows系统遭到Mirai僵尸网络攻击,入侵后服务器会出现大量对外扫描23,1433等端口


--中招检测:

1.看进程:

image.png

2.看文件:
C:\Windows\system会出现以下文件
image.png
或者
image.png

3.看服务:

image.png


--清理流程:

  1. 停止异常服务

  2. 删除异常任务计划my1

  3. 如果存在mssql,需删除Mssqla等异常数据库管理员,清理异常作业

  4. 清理异常的系统管理员账户

  5. 删除C:\Windows\system 下的异常文件

  6. 删除C:\Windows\debug下的异常文件

  7. 删除C:\Windows\SysWOW64和C:\Windows\system32下的异常文件

  8. 等等一系列安全检查

  9. 必要时请考虑重装系统,重装前需要先彻底清除数据库服务中的威胁


我司提供大致的清理脚本,请下载执行,但不一定能够全部清理干净
http://downinfo.myhostadmin.net/clear.bat


--安全设置:

  1. 清理所有异常文件

  2. 网卡属性中取消文件共享勾选

  3. 修改服务器密码

  4. 禁用1433/3306远程访问

  5. mssql/mysql使用普通用户运行

  6. 运行输入gpedit.msc->计算机配置->windows设置->安全设置-本地策略-安全选项

    image.png

  7. windows2008、2012设置方法:运行输入gpedit.msc->计算机配置->管理模板->windows组件->智能卡
    把设置列表中带有“智能卡”关键字的项全部设置为“已禁用”。

  8. windows2003设置方法:运行输入gpedit.msc->计算机配置->windows设置->安全设置->本地策略->安全选项交互式登录:要求智能卡设置为“已禁用”,交互式登录:智能卡移除操作设置为“锁定工作站”。

  9. 及时更新系统补丁



编辑:西部数码
日期:2017-05-04

收藏 】 【 打印 】   
您可对文档进行评分哟~

勾选遇到的问题提交给我们,收到反馈后保证及时修正更新!

提交反馈需要先登陆会员帐号

上一篇:云建站插件在访问时消失的原因和处理方法
下一篇:未达保留价!两字母域名fo.com拍出368万元
若文档内容对您没有帮助,不能解决问题? 您还可以 咨询在线客服提交工单,我们将竭诚为您服务。
  >> 相关文章
 
分享至:
Top

24小时客服热线

400-028-5800

028-62778877

您好,非正常上班时间若有紧急技术问题,请拨总机后按7号键, 其他问题请提交工单或在上班时间联系,谢谢支持!