现象:巡检时发现windows服务器cpu利用率比平时要高这个进程CPU利用率达到75%以上。在任务管理器进程中发现一个没有名字的进程,转到详细后为svchost.exe进程。
使用Process Monitor工具通过PID检查结果:
路径:C:\\Windows\\fonts\\svchost.exe;
命令行:"svchost.exe" -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:7777 -u 45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr -p x -t 3
有几台windows 2012server 都有这个情况。
请问有碰到这情况的吗?怎么解决的?
问题已解决,谢谢大家关注。
进程管理里面右键查看属性,可以看到这个exe文件的实际目录,我的是在 C:/Windows/Fronts 下面,cmd进入目录之后把那几个隐藏的exe文件删掉,删之前要结束进程,修改权限。
dir *.exe /a 可以看到隐藏的文件
attrib -a -s -h xxxxx.exe 可以把文件的隐藏属性取消
cacls 修改权限
takeown 获取文件所有权
打开注册表编辑器,全局搜索进程后面的参数 cryptonight或者xmr.crypto-pool 这些,能找到一个服务的描述,去服务列表里把那个服务禁用,我这边是Servc。注册表的键我也删了。
就是不知道这玩意是怎么染上的
收起被注入挖矿程序了,我也中标了,正在处理。
检查服务,找没有任何说明的那种。我这边是servc和miscroe,将服务自启禁用,重启后挖矿程序不在启动。暂为找到源程序,纠结中。。。
最后在注册表,搜索哪个域名,能看到详细的执行信息。然后删掉注册表。