Enrich life today. Yesterday is history. Tomorrow is mystery.

人生如负重远行,不可急于求成

windows服务器被黑检查及被黑后处理流程


                   

     目前市面上中小网站大概有60-70%都是用的windows系统,windows服务器经常出现被黑的情况,本文主要对这个现象,进行一些快速的排查和木马病毒手工清理。针对中毒不是很严重的服务器,尚可操作的情况来说,部分服务器被黑很严重的只能考虑重装系统了。我以用途最广的windows2008服务器来作为示例。(windows2003建议弃用,目前微软已经停止更新,有很多漏洞,非常容易被黑)以下:

《服务器被黑检查及被黑后处理流程》

1、检查系统的账户
通过vnc或者远程桌面登录后查看到有异常账户常见的如admin$
《windows服务器被黑检查及被黑后处理流程》
进入系统后右键计算机 -> 管理 -> 查看本地用户和组,
(1)先在用户选项中禁用所有的异常账号
《windows服务器被黑检查及被黑后处理流程》

(2)然后到组中,从administrators组以及users组中,删除所有的非administraor的用户

《windows服务器被黑检查及被黑后处理流程》

2、检查异常服务
运行中输入msconfig回车
《windows服务器被黑检查及被黑后处理流程》
(1)检查启动项
将所有的异常启动项禁用(不勾选)
《windows服务器被黑检查及被黑后处理流程》
根据命令的位置找到病毒文件,执行脚本等。比如这个是增加admin$异常账户的vbs脚本。
《windows服务器被黑检查及被黑后处理流程》
批处理文件可以打开查看下,看一下他在系统中添加了什么东西,根据代码在注册表中删除对应的项,根据代码内容判断下是否注册表被篡改。
 《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》
这里检查注册表没有被修改,实际上是一段添加并且隐藏admin$的代码。
最后再删除异常文件。
《windows服务器被黑检查及被黑后处理流程》
(2)检查所有非微软的服务
在msconfig中,切换到服务选择卡,勾选“隐藏所有microsoft服务”,然后将显示出来的服务进行一下过滤。
《windows服务器被黑检查及被黑后处理流程》
如有异常服务,根据服务名称,打开services.msc,找到对应服务,先停止掉。
《windows服务器被黑检查及被黑后处理流程》
然后根据服务中exe程序路径,到对应路径下删除木马病毒文件。
《windows服务器被黑检查及被黑后处理流程》 
最后进入cmd输入sc delete 服务名,删除病毒服务。
《windows服务器被黑检查及被黑后处理流程》
有多个异常服务器的就重复上面的操作步骤。
3、检查计划任务
开始菜单——管理工具——计划任务,点开Microsoft查看下有无异常的计划任务
《windows服务器被黑检查及被黑后处理流程》

如果有先不要删除,先查一下计划任务中执行的脚本,程序等

《windows服务器被黑检查及被黑后处理流程》

根据路径去磁盘中删除源文件,然后再删除
《windows服务器被黑检查及被黑后处理流程》
删除病毒文件后再删除计划任务
《windows服务器被黑检查及被黑后处理流程》
4、检查异常文件
先打开文件夹管理中的隐藏文件,如图设置
《windows服务器被黑检查及被黑后处理流程》
检查C盘及windows目录下的可疑文件,可按照时间排序,根据经验筛查一下,类似隐藏文件,按照时间排序后会发现近期有修改,删除他们。
《windows服务器被黑检查及被黑后处理流程》
需要重点排查的目录有
C:\Windows
C:\$Recycle.Bin
C:\Windows\System32
C:\Users\Administrator (以及其他账户目录)
如果发现有文件存在运行,但是路径下找不到,可能是被隐藏了,遇到类似情况现象是:
(1)可尝试通过takeown /f 文件/目录名 重新获得管理员权限,可显示出来
(2)直接在资源管理器中输入文件路径:d:\wwwroot\test\wwwroot\sgg.asp可以通过编辑器等打开内容
则服务器可能被装了easy file locker 这个软件,锁定,隐藏了目录文件,一般黑客安装该软件会设置密码,无法卸载。

《windows服务器被黑检查及被黑后处理流程》

可尝试以下方式: 

1、查询服务状态: sc qc xlkfs 

2、停止服务: net stop xlkfs 

3、删除服务: sc delete xlkfs 

4、删除系统目录下的如下文件 

c:\WINDOWS\xlkfs.dat 

c:\WINDOWS\xlkfs.dll 

c:\WINDOWS\xlkfs.ini (编辑此文件,可以做成批处理快速删除所有挂马的所有目录,然后再删除此文件) 

c:\WINDOWS\system32\drivers\xlkfs.sys

 《windows服务器被黑检查及被黑后处理流程》

改写为rd /s /q 路径,保存为bat执行即可批量删除。

5、检查系统的应用
打开服务器任务管理器,
(1)先按照cpu排序,查看下经过上述处理后还有无占用cpu极高的进程,找到路径结束掉,并且删除对应的exe等执行程序。
(2)再按照进程名称排序,查看下有无异常进程,比如svchost.exe 有无名称类似(比如svchsot.exe)的或者64位系统下有svchost.exe*32 这样的进程。

(3)按照用户名排序,查看下Administrator及其他普通用户的执行进程

 其中64位系统中带*32的这种一定注意检查下,比如这个进程不是很熟悉,查看是system启动的,可能被黑,右键转到服务查看下对应服务。
《windows服务器被黑检查及被黑后处理流程》
找到对应的exe程序,按照上面异常服务的处理流程,停止服务,删除exe,删除服务 

《windows服务器被黑检查及被黑后处理流程》

如果发现有异常进程但是无法找到源文件的情况可以使用工具Procmon,下载后打开,可以看到进程访问的文件,从而判定病毒文件位置

《windows服务器被黑检查及被黑后处理流程》

《windows服务器被黑检查及被黑后处理流程》开始/停止进程跟踪 《windows服务器被黑检查及被黑后处理流程》 屏幕自动滚动 《windows服务器被黑检查及被黑后处理流程》清除屏幕内容 《windows服务器被黑检查及被黑后处理流程》筛选器 如果服务器进程较多,会比较卡,打开软件后,先点击停止进程跟踪,停止屏幕自动滚动,清除屏幕内容 再点击筛选器,设置好筛选器以后再点击开启跟踪以及屏幕自动滚动等

 《windows服务器被黑检查及被黑后处理流程》《windows服务器被黑检查及被黑后处理流程》

比较常用的是跟踪进程pid,path

6、安装杀毒软件
使用杀毒软件对D盘和C盘进行全面的查杀,避免手工检测中没有检查到的问题。

7、重装系统

如果中毒非常严重,导致资源管理器无法加载,或者系统核心文件损坏,只能重装系统,重装后对D盘进行一次杀毒检查,我建议如果发现中毒了,都备份重要数据到D盘进行重装,这样最保险。


点赞
  1. 头像 asdf说道:

    话说中了勒索病毒怎么破?有方法破解吗?

    1. nahsoagoac nahsoagoac说道:

      勒索病毒目前没有特效药,360好像有勒索病毒恢复工具,不过我测试下来恢复概率很小。如果服务器有备份就先恢复备份,恢复后全盘杀毒并且重装系统。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

hi~

你好,欢迎来到我的博客,欢迎留言。

快速搜索:







Generic selectors

Exact matches only


Search in title


Search in content



Search in posts


Search in pages

欢迎关注我:

微博
steam
QQ
500px
网易云音乐