流觞强烈向大家推荐一个好网站,【我要自学网】,教程由在校老师录制,有办公会计、平面设计、室内设计、机械设计、网页编程、影视动画等教程.....让你足不出门,都可以体验学校的专业教育!
远程到服务器上右键任务管理器,查看资源占用也不高,查看到一堆进程也不知道是干什么的,点击查看-选择性-将命令行和映像路径名称勾选上,
在查看对应的任务管理器进程,现在可以查看到进程执行的命令执行和进程的文件,很容易在一堆web服务的进程中查看到两个异常进程dllhost.exe和Eter.exe。
对应的进程执行命令这里就不分析了,比较不是自己专业,等以后学习再来分析。看了一下对应的异常文件路径查看到这些异常文件都是win系统字体目录下程序,字体目录下正常是不会有这些程序,
找到对应的进程后,先尝试一下结束该进程,结果发现结束不了,看样子有其他守护进程。先到对应的目录下查看一下,反向文件资源管理器无法打开该目录。没有办法使用最原始的办法cmd界面查看。使用cd c:\winowds\fonts目录下,使用dir 查看对应的目录,查看到您对应的存在一堆异常的执行文件和dll。
找到对于的文件了,使用dir dllhots.exe /t:c 查看对于的文件创建时间,查看到对应的创建时间是7月5日11点,7月5日11点服务器当时还是网络不通的,机房反馈是磁盘问题,还给换了一块磁盘,到晚上23点后才能上服务器上操作,说明这个病毒文件应该是机房在安装操作系统或者环境的时候安装带入的。找机房解释说明,让他处理就是了
【结束语】
由于本身逆向分析能力基本没有,没法继续分析下去了,但是当前机房又在催处理攻击,没法下载安全软件对服务器全盘进行一次查杀,推荐使用火绒安全软件,基本上上都说查杀出来,并且后期的防护也做的可以。
