记一次Windows Server2008木马清理过程

事件描述

oVirt虚拟化平台上跑的几台Server08的服务器最近总显示CPU爆满,任务管理器中看到有好多powershell.exe的进程,可是跑的服务中跟比没有需要调用powershell的,肯定有问题.用火绒剑查了一下网络:

尼玛这几个IP是日本\韩国\美国

怒了! 但是用火绒扫了一下居然没发现问题(其实也不意外...也没指望杀毒软件能咋地)

搜了下巨硬公司自己提供了一款安全检查的工具,100多M呢,看来是内置了大量的特征库.

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

扫了一下查出来了:

重启,恢复正常~

抓紧更新一下系统补丁:

https://support.microsoft.com/en-gb/help/4503292

下载最新的月度汇总补丁包集合:

https://support.microsoft.com/en-gb/help/4503292