现象
1.20230427早晨发现,服务器内存较高
2.服务器出现了两个administrator账户
3.360压缩无法使用(此时360压缩大概率已经被植入了木马)、任务管理器,server管理等工具无法使用
4.任务管理器显示windows找不到文件C:\WINDOWS\system32\Taskmgr.exe,并且很多exe都打不开了
排查
登录服务器查看,火绒无法打开,应该是已经被免杀绕过了,植入后用免杀破坏了火绒程序,导致火绒失效
云安全中心显示凌晨2点25时发生异地登录,并发现了大量木马
查看日志,之前都是审核失败,在2点24以后审核成功,时间可以对上,所以大概率是日积月累的“爆破”
有火绒大佬在场,该“爆破”怎么能进来呢?主要是1秒钟只试两条,火绒也识别不出来,因为和正常登录失败太像了,而且从日志保留的第一天就已经开始执行“爆破”了
处理
立马删除administrator后门账号,重新安装了火绒进行全盘杀毒
在计划任务中还发现了一个惊喜,关闭计划任务中的后门
修改administrator的密码
关闭公网远程桌面
使用火绒的系统修复,把任务管理器等系统工具修复,并关闭了一些不必要的启动项和计划任务
第二天观察了一下,发现云安全中心没有告警了
整改
三选一
1.关闭公网远程桌面
2.远程桌面设置白名单
3.修改远程用户的密码,长度20位就行,每季度改一次