记一次挖矿病毒处理

近期有同事反映内网某几个10开头windows服务器很卡，数据库很慢。

经排查发现进程中powershell.exe进程过高；

关闭此进程后过一会又会自动弹出来，

由于自动启动在排查发现计划任务中多了自动任务

在排查开机启动任务后发现 服务器多了很多开机自动启动的任务

综上情况觉得和最近频繁的挖矿病毒很像，

此病毒的特点为：利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特点，达到系统应用白进程执行恶意代码，从而使受害者难以发现。

原理为恶意软件新建计划任务，计划任务通过远程注册ddl，从而实现屏幕截屏，ddos攻击，上传下载服务器文件等功能。通过ddos攻击通过运行powershell进程从而实现无中毒文件还能挖矿的目的。

解决方法为：卸载可疑软件、删除计划任务和开机启动任务，删除C:\Windows\System32\WindowsPowerShell\v1.0 下powershell功能。下载杀毒软件全盘杀毒；

至此服务器cpu正常。

此病毒还会更改组策略配置，使一些正常的如文件共享功能不能使用，

解决方法为：打开组策略信息找到如下位置看看是否启用了ip限制

更改后在cmd下运行gpupdate/force 即可

也可以运行sfc /scannow 更加仔细的了解一下自己的电脑；

敲黑板，如果linux中挖矿病毒了该怎么办？

可以尝试用以下步骤清理病毒：

1. 使用类似如下命令通过 pid 获取对于文件的路径， ls -l /proc/$PID/exe；

2. 使用 kill 命令关闭进程；

3. 删除步骤 1 获取的对应的文件。例如包括/tmp/wnTKYg，/tmp/ddg.*；

4. 清理/root/.ssh/authorized_keys 病毒添加的记录；

5. 删除定时任务，删除/var/spool/cron/root，/var/spool/cron/crontabs/root；

6. 使用绿盟漏洞扫描服务进行服务器扫描并加固；

年关将至，别让自己的辛苦白费，别给病毒留机会。

最后也没啥说得了，就祝大家2019牛逼吧。