Mirai变种僵尸网络攻击预警

近期已发现多起长期未更新补丁的wdows系统遭到Mirai僵尸网络攻击，入侵后服务器会出现大量对外扫描23，1433等端口

--中招检测

1.看进程

image.png

2.看文件

C:\Wdows\system会出现推火网以下文件

image.png

或者

image.png

3.看服务

image.png

--清理流程

停止异常服务

删除异常任务计划my1

如果存在mssql，需删除Mssqla等异常数据库管理员，清理异常作业

清理异常的系统管理员账户

删除C:\Wdows\system 下的异常文件

删除C:\Wdows\debug下的异常文件

删除C:\Wdows\SysWOW64和C:\Wdows\system32下的异常文件

等等一系列安全检查

必要时请考虑重装系统，重装前需要先彻底清除数据库服务中的威胁

我司提供大致的清理脚本，请下载执行，但不一定能够全部清理干净

http://downfo.myhostadm./clear.bat

--安全设置

清理所有异常文件

网卡属性中取消文件共享勾选

修改服务器密码

禁用1433/3306远程访问

mssql/mysql使用普通用户运行

运行输入gpedit.msc->计算机配置->wdows设置->安全设置-本地策略-安全选项

image.png

wdows2008、2012设置方法运行输入gpedit.msc->计算机配置->管理模板->wdows组件->智能卡

把设置列表中带有“智能卡”关键字的项全部设置为“已禁用”。

wdows2003设置方法运行输入gpedit.msc->计算机配置->wdows设置->安全设置->本地策略->安全选项交互式登录要求智能卡设置为“已禁用”，交互式登录智能卡移除操作设置为“锁定工作站”。

及时更新系统补丁

推火专家西部数码