一次windows server 服务器病毒分析处理总结

接到反应某企业绿盟平台不停报警，当天发现服务器IP所在为192.168.xx.xx 的一天有上千条报警。针对这种情况，举行了分析并举行了处理。
一、绿盟安全管理平台报警

​ 平台检测到某服务器有远程命令实行漏洞、挖矿举动等异常举动。平台目前最早记载为 2024-0x-0x。到9月2号有超十万次报警举动。

二、扫描分析

​ 使用端口扫描工具对受害服务器举行扫描，发现有如下开放端口，访问该系统80xx端口，确定是某系统相干服务器。弱口令爆破实验，发现mysql 存在弱口令并乐成连接，存在敏感数据8000余条。

三、处理

起首根据网段确定某子公司的服务器。联系人员确认该系统没重要影响，可以断网，针对该服务器起首辈行了断网。
去公司排查，检测到该服务器确实存在 CPU 100% 异常举动。对可疑文件拷贝，并排查了影子账号、windows 事件日志、计划任务。经太过析确认该服务器存在文件“bHcSLsN.exe”是木马病毒；而且下载木马的计划任务。根据该病毒感染情况杀毒处理、去掉后门、感染文件、影子账号、计划任务。

针对木马文件bHcSLsN.exe，分析有多款杀毒软件报毒：

使用360沙箱云，分析该病毒存在多个恶意危险举动。

四、可能原因分析

​ 由于中病毒事件较远，windows 事件日志、绿盟平台没有最早记载，从计划任务分析最早时间是2021.0x.xx。根据通信的域名可以t.zz3r0.com 发现是永恒之蓝下载器木马。该木马利用渠道：
漏洞扫描及利用弱口令爆破MS17-010漏洞利用RDP爆破Lnk漏洞（CVE-2017-8464）利用SMB爆破SMBGhost漏洞（CVE-2020-0796）利用MSSQL爆破SSH爆破Redis爆破

• 从上述可以推断大致感染渠道：
  
• 使用带木马病毒的激活工具；
  
• 使用了“驱动人生”软件；
  
• 根据服务器远程桌面、mysql弱口令扫描，然后提权侵入系统；
  
• 第三方软件公司安全意识差，开放了不必要端口，并使用了弱暗码；
  
• 根据服务器远程桌面、mysql弱口令扫描，然后提权侵入系统。
  

五、防范

• 利用好安全态势感知平台，针对该木马病毒远程连接的相干IP排查是否有类似的感染；
  
• 增强服务器系统安全管理，克制系统、软件使用弱口令；镌汰不必要的开放端口；定期升级补丁；
  
• 培训人员安装系统时，做好防病毒工作；
  
• 增强对外来厂商软件的安全稽核。
  

六、参考

驱动人生挖矿木马分析与处置：https://blog.csdn.net/beichenyyds/article/details/135521352
360云沙箱：https://ata.360.net/

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。