日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

上周一早上，我和磊哥正百無聊賴的在公司大門口抽煙，突然手機提示我們的xenApp服務器資源使用率過高。按理說，這服務器一個月的總訪問量也不會超過100，資源不可能耗盡。

初步估計是病毒，沒的說，開始排查。由于我們都不是專業的安全人員，不會做逆向分析，所以只是大致分析了病毒的行為，并做了緊急處理，下面是處理過程。

首先我們看資源，發現有N個cmd、powershell進程，同時也查詢到有大量的445端口數據包

然而詭異的是竟然沒能通過進程定位的病毒文件，最關鍵的我們所用的某著名殺毒軟件，這兄弟竟然也沒吱聲，看來被同化了。

繼續排查，在計劃任務中，發現了一些蹤跡

這是一段powershell代碼，但是被加密過

可以看到一個惡意網址，從計劃任務和powershell內容的字面意思可以理解，是每隔1小時，去訪問這個惡意網址調取powershell腳本執行。

綜上，基本可以看出這是個挖礦病毒，感覺上和之前某驅動下載軟件漏洞導致的挖礦病毒類似。

能分析出這個，就好辦了。

首先，通過組策略，關閉全網服務器的445端口，必須要開放的，只向固定的用戶開放。

然后，防火墻增加惡意域名黑名單，阻止連接。更換殺毒軟件，目前來看用SCEP可以掃出該病毒并清除。

當然這只是臨時的緊急處理方法，針對病毒的逆向解析和溯源，還是要等專業的安全人員協助進行。