2024windows應(yīng)急流程及實(shí)戰(zhàn)演練

windows應(yīng)急流程及實(shí)戰(zhàn)演練手冊(cè)2024目錄TOC\o"1-3"\h\u22682windows應(yīng)急流程及實(shí)戰(zhàn)演練 411644常見(jiàn)的應(yīng)急響應(yīng)事件分類(lèi)： 4256480x01入侵排查思路 415418一、檢查系統(tǒng)賬號(hào)安全 4110381、查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放。 4304882、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。 441383、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。 5146254、結(jié)合日志，查看管理員登錄時(shí)間、用戶(hù)名是否存在異常。 524614二、檢查異常端口、進(jìn)程 5189541、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。 5249472、進(jìn)程 615773、小技巧： 622692三、檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù) 7233121、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。 7294732、檢查計(jì)劃任務(wù) 8261443、服務(wù)自啟動(dòng) 820476四、檢查系統(tǒng)相關(guān)信息 8114071、查看系統(tǒng)版本以及補(bǔ)丁信息 8246622、查找可疑目錄及文件 924751五、自動(dòng)化查殺 925608六、日志分析 101668a、找到中間件的web日志，打包到本地方便進(jìn)行分析。 1011367b、推薦工具： 1066310x02 工具病毒分析：PCHunter： 1024159病毒查殺： 1110942病毒動(dòng)態(tài)： 1130269在線(xiàn)病毒掃描網(wǎng)站： 1218461webshell查殺： 1289190x03應(yīng)急響應(yīng)實(shí)戰(zhàn)之FTP暴力破解 136475應(yīng)急場(chǎng)景 1331483日志分析 1315352登錄類(lèi)型 8：網(wǎng)絡(luò)明文（NetworkCleartext） 14264401、關(guān)閉外網(wǎng)FTP端口映射 16310242、刪除本地服務(wù)器FTP測(cè)試 1611232處理措施 17119760x04應(yīng)急響應(yīng)實(shí)戰(zhàn)之蠕蟲(chóng)病毒 176291應(yīng)急場(chǎng)景 1731069事件分析 1723408預(yù)防處理措施 20192251、安裝殺毒軟件，定期全盤(pán)掃描 2043232、不使用來(lái)歷不明的軟件，不隨意接入未經(jīng)查殺的U盤(pán) 20158393、定期對(duì)windows系統(tǒng)漏洞進(jìn)行修復(fù)，不給病毒可乘之機(jī) 20178704、做好重要文件的備份，備份，備份。 2090970x05應(yīng)急響應(yīng)實(shí)戰(zhàn)之勒索病毒 20819應(yīng)急場(chǎng)景 2011608事件分析 2030829360安全衛(wèi)士勒索病毒專(zhuān)題: 223030防范措施 22164010x06應(yīng)急響應(yīng)實(shí)戰(zhàn)之挖礦病毒 2212972應(yīng)急場(chǎng)景 2223783事件分析 232107TIPS: 2414241臨時(shí)防護(hù)方案 25181741、根據(jù)實(shí)際環(huán)境路徑，刪除WebLogic程序下列war包及目錄 25274372、重啟WebLogic或系統(tǒng)后，確認(rèn)以下鏈接訪問(wèn)是否為404 2518173防范措施 25237801、安裝安全軟件并升級(jí)病毒庫(kù)，定期全盤(pán)掃描，保持實(shí)時(shí)防護(hù) 26224912、及時(shí)更新Windows安全補(bǔ)丁，開(kāi)啟防火墻臨時(shí)關(guān)閉端口 26181453、及時(shí)更新web漏洞補(bǔ)丁，升級(jí)web組件 26windows應(yīng)急流程及實(shí)戰(zhàn)演練經(jīng)濟(jì)損失。常見(jiàn)的應(yīng)急響應(yīng)事件分類(lèi)：web入侵：網(wǎng)頁(yè)掛馬、主頁(yè)篡改、Webshell系統(tǒng)入侵：病毒木馬、勒索軟件、遠(yuǎn)控后門(mén)網(wǎng)絡(luò)攻擊：DDOS攻擊、DNS劫持、ARP欺騙針對(duì)常見(jiàn)的攻擊事件，結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法，總結(jié)了一些Window服務(wù)器入侵排查的思路。0x01入侵排查思路一、檢查系統(tǒng)賬號(hào)安全1、查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放。檢查方法：據(jù)實(shí)際情況咨詢(xún)相關(guān)服務(wù)器管理員。2、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。檢查方法：打開(kāi)cmdlusrmgr.msc/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶(hù)，如有，請(qǐng)立即禁用或刪除掉。3、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。檢查方法：a、打開(kāi)注冊(cè)表，查看管理員對(duì)應(yīng)鍵值。b、使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。4、結(jié)合日志，查看管理員登錄時(shí)間、用戶(hù)名是否存在異常。檢查方法：a、WinR打開(kāi)運(yùn)行，輸入eventvwrmsc”，回車(chē)運(yùn)行，打開(kāi)事件查看器”。b、導(dǎo)出Windows日志安全，利用LogParser進(jìn)行分析。二、檢查異常端口、進(jìn)程1、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。檢查方法：anetstat-ano查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHEDbnetstatpidtasklisttasklist|findstr“PID”2、進(jìn)程檢查方法：a、開(kāi)始運(yùn)行輸入msinfo32，依次點(diǎn)擊軟件環(huán)境→正在運(yùn)行任務(wù)就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期、啟動(dòng)時(shí)間等。b、打開(kāi)D盾_web查殺工具，進(jìn)程查看，關(guān)注沒(méi)有簽名信息的進(jìn)程。c、通過(guò)微軟官方提供的ProcessExplorer等工具進(jìn)行排查。d、查看可疑的進(jìn)程及其子進(jìn)程?？梢酝ㄟ^(guò)觀察以下內(nèi)容：沒(méi)有簽名驗(yàn)證信息的進(jìn)程沒(méi)有描述信息的進(jìn)程進(jìn)程的屬主進(jìn)程的路徑是否合法CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過(guò)高的進(jìn)程3、小技巧：a、查看端口對(duì)應(yīng)的PID：netstat-ano|findstr“port”b、查看進(jìn)程對(duì)應(yīng)的 PID：任務(wù)管理器--查看--選擇列--PID 或者tasklist |findstr“PID”c、查看進(jìn)程對(duì)應(yīng)的程序位置：任務(wù)管理器選擇對(duì)應(yīng)進(jìn)程右鍵打開(kāi)文件位置運(yùn)行輸入 wmic，cmd界面 輸入 processd、tasklist/svc 進(jìn)程--PID--服務(wù)e、查看 Windows服務(wù)所對(duì)應(yīng)的端口：%system%/system32/drivers/etc/services（一般 %system%就是 C:\Windows）三、檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)1、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。檢查方法：a、登錄服務(wù)器，單擊【開(kāi)始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。b、單擊開(kāi)始菜單>【運(yùn)行】，輸入msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。c、單擊【開(kāi)始】>【運(yùn)行】，輸入regedit，打開(kāi)注冊(cè)表，查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)：HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce殺，清除殘留病毒或木馬。d、利用安全軟件查看啟動(dòng)項(xiàng)、開(kāi)機(jī)時(shí)間管理等。e、組策略，運(yùn)行 gpedit.msc。2、檢查計(jì)劃任務(wù)檢查方法：a、單擊【開(kāi)始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。b、單擊【開(kāi)始】>【運(yùn)行；輸入 cmd，然后輸入at，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話(huà)或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。3、服務(wù)自啟動(dòng)檢查方法：?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類(lèi)型，檢查是否有異常服務(wù)。四、檢查系統(tǒng)相關(guān)信息1、查看系統(tǒng)版本以及補(bǔ)丁信息檢查方法：?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】，輸入systeminfo，查看系統(tǒng)信息2、查找可疑目錄及文件檢查方法：a、 查看用戶(hù)目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶(hù)目錄，查看是否有新建用戶(hù)目錄。Window2003:C:\DocumentsandSettingsWindow2008R2:C:\Users\b、單擊【開(kāi)始】>%UserProfile%\Recent，分析最近打開(kāi)分析可疑文件。c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。五、自動(dòng)化查殺病毒查殺檢查方法：下載安全軟件，更新最新病毒庫(kù)，進(jìn)行全盤(pán)掃描。webshell查殺檢查方法：選擇具體站點(diǎn)路徑進(jìn)行 webshell查殺，建議使用兩款 webshell查殺具同時(shí)查殺，可相互補(bǔ)充規(guī)則庫(kù)的不足。六、日志分析系統(tǒng)日志分析方法：a、前提：開(kāi)啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。bWinR打開(kāi)運(yùn)行，輸入“eventvwr.msc”，回車(chē)運(yùn)行，打開(kāi)事件查看器”。C、導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用LogParser進(jìn)行分析。WEB訪問(wèn)日志分析方法：a、找到中間件的web日志，打包到本地方便進(jìn)行分析。b、推薦工具：Window下，推薦用 EmEditor進(jìn)行日志分析，支持大文本，搜索效率還不錯(cuò)。Linux下，使用Shell命令組合查詢(xún)分析0x02 工具病毒分析 ：PCHunter：http://www.xuetr.com火絨劍：https://wwwhuorongcnProcessExplorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorerprocesshacker：https://processhacker.sourceforge.io/downloads.phpautoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL：https://www./download/otl/病毒查殺：卡巴斯基（推薦理由：綠色版、最新病毒庫(kù)http://devbuildskasperskylabscom/devbuilds/KVRT/latest/full/KVRTexe大蜘蛛（推薦理由：掃描快、一次下載只能用1周，更新病毒庫(kù)http://freedrwebru/downloadcureitfree火絨安全軟件：https://wwwhuorongcn360殺毒：http://sd.#/download_center.html病毒動(dòng)態(tài)：CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn微步在線(xiàn)威脅情報(bào)社區(qū)：https://x.threatbook.cn火絨安全論壇：http://bbshuorongcn/forum591html愛(ài)毒霸社區(qū)：http://bbs.duba.net騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html在線(xiàn)病毒掃描網(wǎng)站：多引擎在線(xiàn)病毒掃描網(wǎng)v102，當(dāng)前支持41款殺毒引擎:http://wwwvirscanorg騰訊哈勃分析系統(tǒng):https://haboqqcomJotti惡意軟件掃描系統(tǒng):https://virusscan.jotti.org針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件等進(jìn)行檢測(cè)分析:http://www.scanvir.comwebshell查殺：D盾_Web查殺：http://wwwd99netnet/indexasp河馬webshell查殺：http://wwwshellpubcom深信服Webshell網(wǎng)站后門(mén)檢測(cè)工具：http://edrsangforcomcn/backdoor_detectionhtmlSafe3：http://www.uusec.com/webshell.zip0x03應(yīng)急響應(yīng)實(shí)戰(zhàn)之FTP暴力破解FTP是一個(gè)文件傳輸協(xié)議，用戶(hù)通過(guò)FTP可從客戶(hù)機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件，常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過(guò)FTP匿名訪問(wèn)或者弱口令獲取FTP權(quán)限，可直接上傳webshell，進(jìn)一步滲透提權(quán)，直至控制整個(gè)網(wǎng)站服務(wù)器。應(yīng)急場(chǎng)景從昨天開(kāi)始，網(wǎng)站響應(yīng)速度變得緩慢，網(wǎng)站服務(wù)器登錄上去非常卡，重啟服務(wù)器就能保證一段時(shí)間的正常訪問(wèn)，網(wǎng)站響應(yīng)狀態(tài)時(shí)而飛快時(shí)而緩慢，多數(shù)時(shí)間是緩慢的。針對(duì)網(wǎng)站服務(wù)器異常，系統(tǒng)日志和網(wǎng)站日志，是我們排查處理的重點(diǎn)。查看Window安全日志，發(fā)現(xiàn)大量的登錄失敗記錄：日志分析安全日志分析：安全日志記錄著事件審計(jì)信息，包括用戶(hù)驗(yàn)證（登錄、遠(yuǎn)程訪問(wèn)等）和特定用戶(hù)在認(rèn)證后對(duì)系統(tǒng)做了什么。打開(kāi)安全日志，在右邊點(diǎn)擊篩選當(dāng)前日志，在事件ID填入4625到事件ID4625，事件數(shù)177007，從這個(gè)數(shù)據(jù)可以看出，服務(wù)器正則遭受暴力破解：進(jìn)一步使用LogParser對(duì)日志提取數(shù)據(jù)分析，發(fā)現(xiàn)攻擊者使用了大量的用戶(hù)名17826fxxx”這里我們留意到登錄類(lèi)型為 8，來(lái)了解一下登錄類(lèi)型8是什么意思呢？登錄類(lèi)型 8：網(wǎng)絡(luò)明文（NetworkCleartext）這種登錄表明這是一個(gè)像類(lèi)型3一樣的網(wǎng)絡(luò)登錄，但是這種登錄的密碼在網(wǎng)絡(luò)上是通過(guò)明文傳輸?shù)膇ndowsServer服務(wù)是不允許通過(guò)明文驗(yàn)證連接到共享文件夾或打印機(jī)的，據(jù)我所知只有當(dāng)從一個(gè)使用 Advapi的 ASP腳本登錄或者一個(gè)用戶(hù)使用基本驗(yàn)證方式登錄IIS才會(huì)是這種登錄類(lèi)型。“登錄過(guò)程”欄都將列出 Advapi。我們推測(cè)可能是 FTP服務(wù)，通過(guò)查看端口服務(wù)及管理員訪談，確認(rèn)服務(wù)器確實(shí)對(duì)公網(wǎng)開(kāi)放了 FTP服務(wù)。另外，日志并未記錄暴力破解的IP地址，我們可以使用Wireshark對(duì)捕獲到的流量進(jìn)行分析，獲取到正在進(jìn)行爆破的IP：通過(guò)對(duì)近段時(shí)間的管理員登錄日志進(jìn)行分析，如下：管理員登錄正常并未發(fā)現(xiàn)異常登錄時(shí)間和異常登錄 ip，這里的錄類(lèi)型 10，代表遠(yuǎn)程管理桌面登錄。另外，通過(guò)查看 FTP站點(diǎn)，發(fā)現(xiàn)只有一個(gè)測(cè)試文件，與站點(diǎn)目錄并不在同一個(gè)目錄下面，進(jìn)一步驗(yàn)證了 FTP暴力破解并未成功應(yīng)急處理措施：1、關(guān)閉外網(wǎng)FTP端口映射2、刪除本地服務(wù)器FTP測(cè)試處理措施FTP暴力破解依然十分普遍，如何保護(hù)服務(wù)器不受暴力破解攻擊，總結(jié)了幾種措施：1、禁止使用FTP傳輸文件，若必須開(kāi)放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計(jì)（口令長(zhǎng)度不低于8位，由數(shù)字、大小寫(xiě)字母、特殊字符等至少兩種以上組合構(gòu)成。2、更改服務(wù)器FTP默認(rèn)端口。3、部署入侵檢測(cè)設(shè)備，增強(qiáng)安全防護(hù)。0x04應(yīng)急響應(yīng)實(shí)戰(zhàn)之蠕蟲(chóng)病毒蠕蟲(chóng)病毒是一種十分古老的計(jì)算機(jī)病毒，它是一種自包含的程序（套程序，通常通過(guò)網(wǎng)絡(luò)途徑傳播，每入侵到一臺(tái)新的計(jì)算機(jī)，它就在這臺(tái)計(jì)算機(jī)上復(fù)制自己，并自動(dòng)執(zhí)行它自身的程序。常見(jiàn)的蠕蟲(chóng)病毒：熊貓燒香病毒、沖擊波/震蕩波病毒、conficker病毒等。應(yīng)急場(chǎng)景某天早上，管理員在出口防火墻發(fā)現(xiàn)內(nèi)網(wǎng)服務(wù)器不斷向境外IP發(fā)起主動(dòng)連接，內(nèi)網(wǎng)環(huán)境，無(wú)法連通外網(wǎng)，無(wú)圖腦補(bǔ)。事件分析在出口防火墻看到的服務(wù)器內(nèi)網(wǎng)IP，首先將中病毒的主機(jī)從內(nèi)網(wǎng)斷開(kāi)，然后登錄該服務(wù)器，打開(kāi)D盾_web查殺查看端口連接情況，可以發(fā)現(xiàn)本地向外網(wǎng)IP發(fā)起大量的主動(dòng)連接：通過(guò)端口異常，跟蹤進(jìn)程ID，可以找到該異常由svchost.exewindows服務(wù)主進(jìn)程引起，svchost.exe向大量遠(yuǎn)程IP的445端口發(fā)送請(qǐng)求：件進(jìn)行查殺，發(fā)現(xiàn)c:\windows\system32\qntofmhz.dll異常：使用多引擎在線(xiàn)病毒掃描對(duì)該文件進(jìn)行掃描:\h/確認(rèn)服務(wù)器感染conficker蠕蟲(chóng)病毒，下載conficker蠕蟲(chóng)專(zhuān)殺工具對(duì)服務(wù)器進(jìn)行清查，成功清楚病毒。大致的處理流程如下:1、發(fā)現(xiàn)異常：出口防火墻、本地端口連接情況，主動(dòng)向外網(wǎng)發(fā)起大量連接2、病毒查殺：卡巴斯基全盤(pán)掃描，發(fā)現(xiàn)異常文件3conficker蠕蟲(chóng)病毒。4、病毒處理：使用conficker蠕蟲(chóng)專(zhuān)殺工具對(duì)服務(wù)器進(jìn)行清查，成功清除病毒。預(yù)防處理措施在政府、醫(yī)院內(nèi)網(wǎng)，依然存在著一些很古老的感染性病毒，如何保護(hù)電腦不受病毒感染，總結(jié)了幾種預(yù)防措施：1、安裝殺毒軟件，定期全盤(pán)掃描2、不使用來(lái)歷不明的軟件，不隨意接入未經(jīng)查殺的U盤(pán)3、定期對(duì)windows系統(tǒng)漏洞進(jìn)行修復(fù)，不給病毒可乘之機(jī)4、做好重要文件的備份，備份，備份。0x05應(yīng)急響應(yīng)實(shí)戰(zhàn)之勒索病毒勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。自WannaCry勒索病毒在全球爆發(fā)之后，各種變種及新型勒索病毒層出不窮。應(yīng)急場(chǎng)景某天早上，網(wǎng)站管理員打開(kāi)OA系統(tǒng)，首頁(yè)訪問(wèn)異常，顯示亂碼：事件分析登錄網(wǎng)站服務(wù)器進(jìn)行排查，在站點(diǎn)目錄下發(fā)現(xiàn)所有的腳本文件及附件都被sage!HELP_SOS.hta文件，打包了部分樣本：打開(kāi)!HELP_SOS.hta文件，顯示如下：到這里，基本可以確認(rèn)是服務(wù)器中了勒索病毒，上傳樣本到360勒索病毒網(wǎng)站進(jìn)行分析：http://lesuobingdu.#確認(rèn)web服務(wù)器中了sage勒索病毒，目前暫時(shí)無(wú)法解密。絕大多數(shù)勒索病毒，是無(wú)法解密的，一旦被加密，即使支付也不一定能夠獲得解密密鑰。在平時(shí)運(yùn)維中應(yīng)積極做好備份工作，數(shù)據(jù)庫(kù)與源碼分離（類(lèi)似OA系統(tǒng)附件資源也很重要，也要備份）。遇到了，別急，試一試?yán)账鞑《窘饷芄ぞ撸骸熬芙^勒索軟件”網(wǎng)站:https://\h/zh/index.html360安全衛(wèi)士勒索病毒專(zhuān)題:\h防范措施—旦中了勒索病毒，文件會(huì)被鎖死，沒(méi)有辦法正常訪問(wèn)了，這時(shí)候，會(huì)給你帶來(lái)極大的困惱。為了防范這樣的事情出現(xiàn)，我們電腦上要先做好一些措施：1、安裝殺毒軟件，保持監(jiān)控開(kāi)啟，定期全盤(pán)掃描2、及時(shí)更新 Windows安全補(bǔ)丁，開(kāi)啟防火墻臨時(shí)關(guān)閉端口，如 445、1351371381393389等端口3、及時(shí)更新web漏洞補(bǔ)丁，升級(jí)web組件4、備份。重要的資料一定要備份，謹(jǐn)防資料丟失5、強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開(kāi)0x06應(yīng)急響應(yīng)實(shí)戰(zhàn)之挖礦病毒隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個(gè)人電腦或服務(wù)器進(jìn)行挖礦，具體現(xiàn)象為電腦CPU占用率高，C盤(pán)可使用空間驟降，電腦溫度升高，風(fēng)扇噪聲增大等問(wèn)題。應(yīng)急場(chǎng)景某天上午重啟服務(wù)器的時(shí)候，發(fā)現(xiàn)程序啟動(dòng)很慢，打開(kāi)任務(wù)管理器，發(fā)現(xiàn)cpu被占用接近100%，服務(wù)器資源占用嚴(yán)重。事件分析登錄網(wǎng)站服務(wù)器進(jìn)行排查，發(fā)現(xiàn)多個(gè)異常進(jìn)程：分析進(jìn)程參數(shù)：wmicprocessgetcaption,commandline/value>>tmp.txtTIPS:在windows下查看某個(gè)運(yùn)行程序（或進(jìn)程）的命令行參數(shù)使用下面的命令：wmicprocessgetcaption,commandline/value如果想查詢(xún)某一個(gè)進(jìn)程的命令行參數(shù)，使用下列方式：wmicprocesswherecaption=”svchost