没有所谓的捷径
一切都是时间最平凡的累积

windows服务器被黑检查及被黑后处理流程

本文最后更新于2019年3月26日,已超过262天没有更新,如果文章内容失效,请反馈给本站,谢谢!

目前市面上中小网站大概有60-70%都是用的windows系统,windows服务器经常出现被黑的情况,本文主要对这个现象,进行一些快速的排查和木马病毒手工清理。针对中毒不是很严重的服务器,尚可操作的情况来说,部分服务器被黑很严重的只能考虑重装系统了。我以用途最广的windows2008服务器来作为示例。(windows2003建议弃用,目前微软已经停止更新,有很多漏洞,非常容易被黑)以下:

1、检查系统的账户
通过vnc或者远程桌面登录后查看到有异常账户常见的如admin$
《windows服务器被黑检查及被黑后处理流程》
进入系统后右键计算机 -> 管理 -> 查看本地用户和组,
(1)先在用户选项中禁用所有的异常账号
《windows服务器被黑检查及被黑后处理流程》

(2)然后到组中,从administrators组以及users组中,删除所有的非administraor的用户

《windows服务器被黑检查及被黑后处理流程》

2、检查异常服务
运行中输入msconfig回车
《windows服务器被黑检查及被黑后处理流程》
(1)检查启动项
将所有的异常启动项禁用(不勾选)
《windows服务器被黑检查及被黑后处理流程》
根据命令的位置找到病毒文件,执行脚本等。比如这个是增加admin$异常账户的vbs脚本。
《windows服务器被黑检查及被黑后处理流程》
批处理文件可以打开查看下,看一下他在系统中添加了什么东西,根据代码在注册表中删除对应的项,根据代码内容判断下是否注册表被篡改。
《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》
这里检查注册表没有被修改,实际上是一段添加并且隐藏admin$的代码。
最后再删除异常文件。
《windows服务器被黑检查及被黑后处理流程》
(2)检查所有非微软的服务
在msconfig中,切换到服务选择卡,勾选“隐藏所有microsoft服务”,然后将显示出来的服务进行一下过滤。
《windows服务器被黑检查及被黑后处理流程》
如有异常服务,根据服务名称,打开services.msc,找到对应服务,先停止掉。
《windows服务器被黑检查及被黑后处理流程》
然后根据服务中exe程序路径,到对应路径下删除木马病毒文件。
《windows服务器被黑检查及被黑后处理流程》
最后进入cmd输入sc delete 服务名,删除病毒服务。
《windows服务器被黑检查及被黑后处理流程》
有多个异常服务器的就重复上面的操作步骤。
3、检查计划任务
开始菜单——管理工具——计划任务,点开Microsoft查看下有无异常的计划任务
《windows服务器被黑检查及被黑后处理流程》

如果有先不要删除,先查一下计划任务中执行的脚本,程序等

《windows服务器被黑检查及被黑后处理流程》

根据路径去磁盘中删除源文件,然后再删除
《windows服务器被黑检查及被黑后处理流程》
删除病毒文件后再删除计划任务
《windows服务器被黑检查及被黑后处理流程》
4、检查异常文件
先打开文件夹管理中的隐藏文件,如图设置
《windows服务器被黑检查及被黑后处理流程》
检查C盘及windows目录下的可疑文件,可按照时间排序,根据经验筛查一下,类似隐藏文件,按照时间排序后会发现近期有修改,删除他们。
《windows服务器被黑检查及被黑后处理流程》
需要重点排查的目录有
C:\Windows
C:\$Recycle.Bin
C:\Windows\System32
C:\Users\Administrator (以及其他账户目录)
如果发现有文件存在运行,但是路径下找不到,可能是被隐藏了,遇到类似情况现象是:
(1)可尝试通过takeown /f 文件/目录名 重新获得管理员权限,可显示出来
(2)直接在资源管理器中输入文件路径:d:\wwwroot\test\wwwroot\sgg.asp可以通过编辑器等打开内容
则服务器可能被装了easy file locker 这个软件,锁定,隐藏了目录文件,一般黑客安装该软件会设置密码,无法卸载。

《windows服务器被黑检查及被黑后处理流程》

可尝试以下方式:

1、查询服务状态: sc qc xlkfs

2、停止服务: net stop xlkfs

3、删除服务: sc delete xlkfs

4、删除系统目录下的如下文件

c:\WINDOWS\xlkfs.dat

c:\WINDOWS\xlkfs.dll

c:\WINDOWS\xlkfs.ini (编辑此文件,可以做成批处理快速删除所有挂马的所有目录,然后再删除此文件)

c:\WINDOWS\system32\drivers\xlkfs.sys

《windows服务器被黑检查及被黑后处理流程》

改写为rd /s /q 路径,保存为bat执行即可批量删除。

5、检查系统的应用
打开服务器任务管理器,
(1)先按照cpu排序,查看下经过上述处理后还有无占用cpu极高的进程,找到路径结束掉,并且删除对应的exe等执行程序。
(2)再按照进程名称排序,查看下有无异常进程,比如svchost.exe 有无名称类似(比如svchsot.exe)的或者64位系统下有svchost.exe*32 这样的进程。

(3)按照用户名排序,查看下Administrator及其他普通用户的执行进程

 其中64位系统中带*32的这种一定注意检查下,比如这个进程不是很熟悉,查看是system启动的,可能被黑,右键转到服务查看下对应服务。
《windows服务器被黑检查及被黑后处理流程》
找到对应的exe程序,按照上面异常服务的处理流程,停止服务,删除exe,删除服务

《windows服务器被黑检查及被黑后处理流程》

如果发现有异常进程但是无法找到源文件的情况可以使用工具Procmon,下载后打开,可以看到进程访问的文件,从而判定病毒文件位置

《windows服务器被黑检查及被黑后处理流程》

《windows服务器被黑检查及被黑后处理流程》开始/停止进程跟踪 《windows服务器被黑检查及被黑后处理流程》 屏幕自动滚动 《windows服务器被黑检查及被黑后处理流程》清除屏幕内容 《windows服务器被黑检查及被黑后处理流程》筛选器 如果服务器进程较多,会比较卡,打开软件后,先点击停止进程跟踪,停止屏幕自动滚动,清除屏幕内容 再点击筛选器,设置好筛选器以后再点击开启跟踪以及屏幕自动滚动等

《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》

比较常用的是跟踪进程pid,path

6、安装杀毒软件
使用杀毒软件对D盘和C盘进行全面的查杀,避免手工检测中没有检查到的问题。

7、重装系统

如果中毒非常严重,导致资源管理器无法加载,或者系统核心文件损坏,只能重装系统,重装后对D盘进行一次杀毒检查,我建议如果发现中毒了,都备份重要数据到D盘进行重装,这样最保险。

» 本文链接地址:https://blog.mydns.vip/1536.html
» 如果喜欢可以: 点此订阅本站
赞(1) 打赏
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » windows服务器被黑检查及被黑后处理流程
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏