python挖掘脚本_windows应急响应

一、关于powershell挖矿病毒

2019年4月22日，对公司多台服务器进行病毒排查，发现两台windows服务器CPU占用率过高。检查过程中发现powershell进程正在占用CPU。

通过百度确定该进程植入了挖矿病毒。该病毒利用WMI+powershell的内存驻留方式实现无文件挖掘和横向感染。

二、病毒存在

机器卡死，机器CPU占用率高怎样看电脑是否中了挖矿病毒，发现powershell.exe进程占用CPU超过75%。

三、清除病毒

需要三个部分来清除病毒、以文件形式存在于计算机中的疾病、计划任务、驻留在 WMI 中的挖掘和横向感染程序

1、清除机器中的文件病毒

文件病毒清除比较容易，可以用360、电脑管家、火狐等杀毒软件扫描整个磁盘，主要是清除文件cohernece.exe，90%的文件病毒可以被杀死。

部分病毒文件需要手动清除，可以清空C:\Windows\Temp下的文件和回收站中的文件

2、清除计划任务

在管理工具 --> 调度器 --> 调度器库中删除可疑的计划任务

3、清除驻留在内存中的病毒

win+r --> 输入wbemtest.exe --> 在弹出的程序中输入，点击connect，在弹出的框中输入root\default，点击connect

连接成功后，依次进行以下操作

然后找到下面两个属性，双击

拉到最下面，有几个挖矿病毒添加的属性，选中后可以删除

四、病毒预防

1、 如何感染病毒

感染挖矿病毒只有两种方式：

1、黑客攻击公网暴露的服务，获取系统权限，植入病毒，利用脚本自动横向渗透内网部署挖矿病毒。

2、员工通过钓鱼（钓鱼邮件、注册机、免费软件等）获取内网办公电脑的权限，通过办公电脑进行横向渗透。

2、如何预防

防止外网黑客攻击：1、暴露于外网的服务器已按最小原则部署，只开放业务端口。

2、增强的基线配置，例如增加密码强度、删除不必要的配置等

4、操作系统、中间件、数据库可远程访问 被利用的漏洞必须打补丁

3、加强业务代码的健壮性怎样看电脑是否中了挖矿病毒，规避中高风险的存在

网络钓鱼防范：1、首先是员工，比如可疑程序首先是杀毒，在虚拟环境中执行，通常是杀毒等。

2、办公电脑集中管理和实时病毒发现

横向渗透防范：1、安全隔离、安全域划分、端口级访问控制。

2、不要有弱密码主机（挖矿病毒横向渗透，爆破和漏洞利用）

3、应该应用的补丁都应用了

4、不要重复使用帐号