我司近期發(fā)現(xiàn)有部分客戶服務(wù)器系統(tǒng)資源占用異常的情況����,具體表現(xiàn)為cpu持續(xù)占用100%����,嚴(yán)重影響服務(wù)器系統(tǒng)運行,造成卡頓�����,應(yīng)用處理不及時甚至拒絕服務(wù)的現(xiàn)象。
技術(shù)人員檢查發(fā)現(xiàn),被入侵的服務(wù)器主要有以下幾類:
1����、服務(wù)器進(jìn)程中均有netcore.exe和winhost.exe進(jìn)程,占用剩余的cpu資源����,導(dǎo)致使用率持續(xù)居高不下。
該惡意程序目前發(fā)現(xiàn)集中存在于Windows2008系統(tǒng)上����,其他系統(tǒng)暫未發(fā)現(xiàn),文件路徑c:\windows\和c:\windows\system32\���,主要有四個文件���,其中netcore.exe和winhost.exe文件常駐進(jìn)程,嘗試通過taskkill殺掉進(jìn)程后�����,會立即啟動;同時會增加自動運行的ntuhost系統(tǒng)服務(wù)項目���,
清除此惡意程序的辦法是:
進(jìn)入“服務(wù)”�,停止ntuhost服務(wù)����,以管理員身份運行cmd,執(zhí)行sc delete ntuhost���,并回車���,刪除服務(wù),然后打開任務(wù)管理器��,結(jié)束netcore.exe和winhost.exe進(jìn)程���,然后刪除c:\windows及c:\windows\system32\下相應(yīng)文件��。
2����、服務(wù)器進(jìn)程中均有micc.com的進(jìn)程,占用剩余的cpu資源�����,導(dǎo)致使用率持續(xù)居高不下���。
該惡意程序目前發(fā)現(xiàn)集中存在于Windows2008系統(tǒng)上��,其他系統(tǒng)暫未發(fā)現(xiàn)�,文件路徑c:\windows\debug\so\��,主要有四個文件���,其中micc.com文件常駐進(jìn)程��,嘗試通過taskkill殺掉進(jìn)程后����,會立即啟動;嘗試通過unlocker刪除so目錄�,也會失敗。
清除此類惡意程序的辦法是:
方法一:安裝殺毒軟件�,對系統(tǒng)目錄進(jìn)行掃描,基本可以清除文件��。
方法二:取消so目錄繼承權(quán)限,然后結(jié)束進(jìn)程任務(wù)���,此時micc.com會因為沒有權(quán)限�����,無法自動啟動。
方法三:重啟服務(wù)器��,通過vnc控制臺進(jìn)入安全模式��,刪除so目錄�����,然后正常啟動服務(wù)器��。
3�����、服務(wù)器進(jìn)程中均有其他惡意進(jìn)程����,占用剩余的cpu資源�����,導(dǎo)致使用率持續(xù)居高不下�����,或者對外進(jìn)行網(wǎng)絡(luò)發(fā)包�、占用服務(wù)器上端口�����,導(dǎo)致使用端口的正常服務(wù)無法運行�����。
還有其他惡意程序��,偽裝為系統(tǒng)核心文件例如system����、svhosts等,創(chuàng)建進(jìn)程和服務(wù)�,控制服務(wù)器。因為我們建議您按照以下的方法檢測服務(wù)器����。
注意:如果您不是很懂windows服務(wù)器���,請先備份您的網(wǎng)站及數(shù)據(jù),然后執(zhí)行下面的步驟:
第一步:查看C盤根目錄下面是不是存在picture.exe的程序�,一般由這個惡意病毒的服務(wù)器上的訪問會出現(xiàn)數(shù)據(jù)庫連接失敗的問題,一般是由于該惡意病毒將服務(wù)器上所有端口惡意占用導(dǎo)致的�,可以嘗試的方法是:在任務(wù)管理器--進(jìn)程中找到這個程序的進(jìn)程,然后右鍵打開文件所在位置����,然后繼續(xù)在進(jìn)程上右鍵選擇轉(zhuǎn)到服務(wù)����,停止這個服務(wù),接著在剛才打開的文件位置中刪除病毒程序�����,然后重啟服務(wù)器�。另外我們建議最好重做系統(tǒng)。
第二步:查看c:\windows目錄下有沒有最近修改或添加的名稱很古怪�����,且后綴為exe的程序,如果發(fā)現(xiàn)�,請直接刪除,刪除報錯的��,請先打開任務(wù)管理器�,結(jié)束對應(yīng)程序的進(jìn)程。
第三步:查看c:\windows\system32目錄修改時間是不是最近幾天的����,如果是則進(jìn)入該目錄按照修改時間排序文件,查看目錄下有沒有最近修改或添加的名稱很古怪�,且后綴為exe的程序,如果發(fā)現(xiàn)�,請直接刪除,刪除報錯的����,請先打開任務(wù)管理器,結(jié)束對應(yīng)程序的進(jìn)程��。
第四步:查看c:\windows\temp 下有沒有最近修改或添加的名稱很古怪程序文件�,如果發(fā)現(xiàn),請直接刪除����。
第五步:檢查系統(tǒng)服務(wù)���,如果發(fā)現(xiàn)異常的服務(wù),請停止并改其啟動屬性為“禁用”���,查看系統(tǒng)啟動項中有沒有被添加開機(jī)啟動的惡意程序����,如果有�,請刪除該啟動項。
第六步:檢查服務(wù)器用戶有無異常�����,如果有admin這樣的用戶名�,就需要注意��,很可能是黑客創(chuàng)建的用戶名��,在確實用戶確認(rèn)非自己創(chuàng)建��、并且無用的情況下請刪除該用戶����。
最后�����,感謝您的支持�����,我們也建議您下載下面的小工具在服務(wù)器上運行�����,屏蔽445 137 139端口����,運行時請退出殺毒軟件����,如果在排查過程中遇到問題,請聯(lián)系我們�����。
block445.rar
小蘋果服務(wù)器租用
機(jī)柜租用
服務(wù)器托管
大帶寬租用
空間/域名
高防服務(wù)器租用
機(jī)房建設(shè)服務(wù)
百度BGP機(jī)房
計算與網(wǎng)絡(luò)
存儲與CDN
安全與應(yīng)用
文字識別
視頻技術(shù)
度目硬件
人臉與人體識別
圖像識別
語音技術(shù)
企業(yè)安全
企業(yè)服務(wù)
安全產(chǎn)品解決方案
政策法規(guī)
企業(yè)辦公
行業(yè)解決方案
美猴云
關(guān)于我們
公司動態(tài)
