Вчера днём я внезапно обнаружил, что сайт нельзя открыть, проверил причину и обнаружил, что порт удалённой базы данных нельзя открыть, поэтому я вошёл в удалённый сервер базы данных.
Я обнаружил, что сервис MySQL остановился, и процессор занимает 100%, как показано на следующем рисунке:
В сортировке заполнения CPU было установлено, что «win1ogins.exe» потребляет больше всего ресурсов, занимая 73% процессора; по личному опыту это должно быть майнинговое программное обеспечение для майнинга XMR Monero!
Я также открыл для себя процесс «MyBu.exe» Yiyu и подумал: когда сервер загрузил программу, написанную на Yiyu? Как показано ниже:
Кликните правой кнопкой мыши на «MyBu.exe», чтобы открыть местоположение файла, папку: C:\Windows, затем отсортировать по времени и найти 3 новых файла, как показано ниже:
1ndy.exe, MyBu.exe, Mzol.exe документы
Увидев эти странные файлы, я почувствовал, что сервер должен был быть взломан, я посмотрел логи Windows и обнаружил, что логи входа были удалены, и сервер действительно взломан!
Мы пытались «win1ogins.exe» кликнуть правой кнопкой мыши по процессу и открыть местоположение файла, но обнаружили, что открыть не получилось!! Никакой реакции! Хорошо! Инструменты!!
Я использую инструмент «PCHunter64.exe», просто найдите и скачайте его сами
Папка, где находится «win1ogins.exe», выглядит так: C:\Windows\Fonts\system(x64)\, как показано на рисунке ниже:
Мы не можем найти эту папку в Проводнике, как показано ниже:
В следующей операции я скопировал 3 вирусных троянских файла на мой недавно купленный сервер для работы!!
Я скопировал вирусный файл на свой недавно купленный сервер, попытался открыть MyBu.exe файл и обнаружил, что MyBu.exe был удалён самостоятельно! И выпущено программное обеспечение для майнинга, мы знаем, что проводник не может открыть путь к файлу,
Мы попробовали использовать инструмент powershell, который идёт в новой версии Windows, и обнаружили, что майнинговое ПО существует, и там три папки
(Обратите внимание, что в обычных условиях: в C:\Windows\Fonts нет папок!!)
Я установил инструмент захвата пакетов FD на свой сервер, мы попытались открыть программу "1ndy.exe", нашли его и попытались получить доступ: http://221.229.204.124:9622/9622.exe должен скачивать последний вирусный троян
Теперь сайт недоступен.
Мы попытались открыть программу «Mzol.exe», но обнаружили, что она не знает, что хочет сделать. Мы открываем программу с помощью блокнота, как показано ниже:
LogonServer.exe Игры-шахматы и карты GameServer.exe Baidu убивают лёгкие BaiduSdSvc.exe обнаружили S-U ServUDaemon.exe в сканировании DUB.exe в сканировании 1433 1433.exe в ловле кур S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Доктор Ан patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process нет информации Начался вход в SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ДРУГИЕ подключения ЗАНЯТЫЕ подключения ПРОКСИ-подключения LAN-соединения MODEM подключения NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Не обнаружено Стандартный RDP-TCP Автор: Ши Юнган, email:pizzq@sina.com
Лично я думаю, что «Mzol.exe» и «1ndy.exe» — это на самом деле одно и то же, просто разница между новой версией и старой!
Давайте win1ogins.exe рассмотрим параметры запуска программного обеспечения, как показано ниже:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Если мы действительно майнируем XMR Monero, открываем адрес майнингового пула: https://supportxmr.com/ Запросить адрес кошелька, как показано на рисунке ниже:
Мы рассчитываем доход по вычислительной мощности, копаем 0,42 монеты в день и вычисляем более 1000 по текущему рынку, ежедневный доход, вероятно, превышает 500 юаней!
Конечно, Monero также выросла до более чем 2000 юаней!
Что касается удаления майнингового вируса "win1ogins.exe", программа PCHunter64 может удалить вирус майнинга вручную! Просто завершить процесс не помогает, я вручную очистил вирус на сервере.
Конечно, лучше доверить другим заниматься удалением вируса, ведь я не профессионал в этом!
Наконец, прикрепите 3 вирусных файла и распаковайте пароль A123456
1ndy.zip
(1.29 MB, Количество скачиваний: 12, 售价: 1 粒MB)
(Конец)
|
Опубликовано 04.04.2018 12:37:15
|
|
|
|
