windowsCPU利用率100%爆了爆了
阿新 • • 發佈:2018-04-20
windowsCPU利用率100% windows系統中毒了怎麽辦 windows中毒了 服務器攻擊原理 劇情是這樣的
**在嗎?windows服務器cpu利用率一直100%**
答曰:在
**幫忙給看看?**
答曰:好
**好像中的是挖礦病毒,病毒殺了,又自動生成**
答曰:遠程看一下吧。
**TeamViewer**
ID和密碼發過來了。
這裏重申一下為什麽用TeamViewer,而不是qq;
在一樣的網絡環境下qq遠程就卡的不行,TeamViewer就順暢的多!
**先附幾張中毒的圖片:**
開始解決問題
一看桌面有XX殺毒軟件,檢測掃描了一下竟然沒有發現病毒,啟動項也沒有看到異常。。 **乖乖,病毒竟然對XX殺毒軟件 做過免疫了**,不要驚呆,這個太正常了。
正式進入解決問題環節
1. 下載360安全衛士,一定是離線安裝包啊,拷貝到服務器上。 2. 安裝完,立刻 360 全面體檢。 3. 木馬查殺 4. 啟動項優化加速,優化沒用的啟動項,和你認為的病毒項(當然如果是病毒,會提示出來的;但有的病毒是依賴你的程序啟動在啟動,所有殺毒期間最好,禁用所有非系統啟動項的應用!) 5. 安全衛士裏邊的系統修復 6. 到功能大全裏邊安裝:防黑加固 和 系統急救箱(如果系統上不了網,單獨下載斷網系統急救箱上傳到windows系統) 7. 修改管理員administrator密碼,密碼不在於多,關鍵在於復雜程度!比如:12346789、1qaz2wsx、1234@qwer這些密碼早已經出現在了爆破字典裏邊。 8. 重命名管理員administrator名字為別的名字。 9. 當然也要禁用Guest用戶,和其他你不認識的所有用戶。 10. 運行防黑加固: 立即檢測。一般會檢測以下幾項等: 1. 關閉默認的windows系統共享隱藏目錄 2. 檢測管理員密碼是否復雜程度,容易被破解。會提示你輸入密碼,這裏忽略不用輸入。 3. 會檢測遠程桌面是否打開?可能會把遠程給關閉,一會自己手動開啟即可。或者打鉤不優化也行。 11. 運行系統急救箱,全盤查殺。 **以上這些步驟都可以同步進行!!** 12. 修改系統默認遠程端口號 改成別的端口範圍:65535以內(別暫用系統和應用服務的端口號!)。**對了千萬別改成一樣的數字:如1111** 遠程端口號修改步驟如下: 1、打開“開始“→”運行”,輸入“regedit”,按下回車鍵,打開註冊表,依次點開:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],找到PortNumber 雙擊,點選“十進制”,可以看到PortNumber的默認值是3389,修改成所希望的端口即可。 2、打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],找到PortNumber 雙擊,點選“十進制”,將PortNumber的值(默認是3389)修改成和上一步驟一樣的。 註意:步驟1和步驟2的端口號要一樣!! 13. windows防火墻添加 遠程端口號 入站策略。 14. 回過頭看第1步到第5步,檢測完成後,你就點擊一鍵處理就ok了。 一般情況下:這個時候你就可以打開任務管理器,把cpu 100%的進程 結束掉,因為它的母病毒已經殺掉了,你把它殺掉,就不會生成病毒了。 到這裏,一般的機器的cpu使用率就恢復正常了,但是為了安全起見,也要進行接下來的步驟! 15. 等待系統急救箱查殺完後會提示系統重啟;重啟後 會再次啟動 系統急救箱 在輕微掃描一次,然後再系統重啟 ;系統啟動會 急救箱會提示問題是否解決。 16. 查看 任務管理器, cpu是否正常了。如不正常繼續以上操作即可。 (**註意:有一些木馬文件是需要網絡才會不斷的循環生成進程,所以在殺毒的時候,可以把網卡禁用或斷網。**)
windows安全提醒
安裝**一個**360安全衛士就行了,如果內存足夠用,再安裝一個360殺毒。
別的殺毒軟件就別再安裝了,安裝多了,它們還打架呢!!!
最後提醒,沒有那個金剛鉆,千萬別裸跑!!!
windows系統安裝完後:
修改復雜密碼、修改默認端口、裝一個殺毒軟件。
解讀一下一般攻擊服務器的原理
1. 利用相關軟件掃描系統的默認端口號: (端口號:當然是可以通過這個端口可以登錄系統,然後提權做其他事情的端口。例如:3389、3306、linux的22等) 那他們是怎麽知道你的IP呢? 其實,每個攻擊者手裏又有n個ip地址段文件。這個是防不住的。 2. 掃描到默認端口號,(每個攻擊者都會有n個 賬戶、密碼的字典文件。) 3. 利用賬戶、密碼字典 來循環匹配登錄系統。 4. 匹配成功後,就會有自動化的腳本,將已經生成的木馬文件自動上傳到系統的一些敏感的路徑下,如:C:\Windows\System32 目錄。 而且會設置自自動任務。 5. 木馬文件拷貝完成後。一般情況下啟動A木馬文件,然後會生成其他的類似系統的文件名的B木馬文件,去做壞事。 6. 然後一開始啟動的A木馬文件這時候只是不斷檢測B木馬文件是否在執行,使用cpu是很小的,幾乎看不出來。 7. 而你看到的利用率CPU 100%的文件時B木馬文件。所以你殺掉B木馬文件,發現沒一會又自動生成 了。 8. 有些病毒甚至會嵌套很多層。 9. 大概就這些了。
windowsCPU利用率100%爆了爆了