1、通过电脑控制面板,找到相应流氓软件进行删除;这是最为直接简单的方法,那就是通过电脑的控制面板进行删除,找到控制面板,然后找到卸载程序,最后找到流氓软件那一栏,直接删除即可,这样算是删除比较彻底了。需要注意的是,很多用户看到桌面上的流氓软件,便立马将桌面上的图标给拖入回收站,岂不知这样做仅仅是删除了一个图标而已,根本删除不了主程序,所以还是要从控制面板删除才算彻底。2、通过管家、卫士类的第三方软件,进行彻底清理;通过第三方软件进行删除,比如说管家类或者卫士类的软件,这类软件的软件管理功能都可以彻底检测和清理流氓软件,清理起来也方便,算是傻瓜式 *** 作了,同样适合电脑小白使用,而且清理效果也不错。3、打开软件的文件所在位置,直接删除流氓软件相关的文件;打开软件的文件所在位置进行清理,如果在电脑的桌面上找到了流氓软件的图标,那么不要直接删除图标,而是找到图标点击鼠标右键,找到软件的文件所在位置,然后直接将流氓软件的相关文件删除即可,这样删除也算是非常彻底了。4、通过系统自带的恶意软件删除工具进行清理;清理流氓软件非常彻底的一种方法,但是 *** 作起来没有上述几种简单,那就是通过系统自带的恶意软件删除工具进行清理,Win+R快捷键打开运行框,输入MRT回车,调出系统自带的恶意软件删除工具,然后直接点击快速扫描旧可以了,这样从系统中删除清理非常彻底。5、一键还原电脑,或者重装系统。属于比较极端的处理方式,那就是直接一键还原电脑,将电脑还原为最初的设置,同时如果发现电脑自动下载流氓软件的话,那么就是系统问题了,比如说盗版系统,这类系统会给电脑源源不断植入流氓软件,因此遇到这种情况直接重装系统就可以了,还是那句话,尽量安装正版系统,安全有保障。但需要注意的是,重装系统或者还原系统之前,一定要做好文件的备份,或者说把文件先保存在硬盘里,以免造成文件的丢失。
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
SSH远程登录客户的Linux服务器,查看当前的进程发现有一个特别的进程占用了百分之100
的CPU,而且会持续不断的占用,我们查了查该进程,发现不是linux的系统进程,我们对进程
的目录进行查看,发现该进程是一个木马进程,再仔细进行安全分析,才确定是目前最新的挖
矿木马病毒,挖的矿分很多种,什么比特币,什么罗门币的,太多太多,看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。
挖矿木马的检测与清除
我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看
里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行计划任务,
导致客户怎么重启都于事无补,还是卡的要命。该木马代码还调用了一些Linux系统命令,bashe
bashd来挖矿,该命令是最直接也是占用CPU到顶峰的关键,太粗鲁了,这样的挖矿本身就会让
客户发现问题,看来挖矿者只顾着赚钱,不考虑长久之道了。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)