windows服务器被当矿机的问题处理实战-conhosts.exe
服务器最近比较卡,调开任务管理器查看,CPU占用偏高,发现进程 conhosts.exe,占用CPU 75%:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130121149971.png)
通过pid查询,该进程通过syn_sent向陌生IP 163.172.226.218的7777端口发送数据,应该就是挖出来的比特币算法一类的数据。这个陌生IP是个英国的IP,涂红的IP是我服务器自身的IP地址:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130121457301.png)
异常进程会通过explorer.exe 引导,这个explorer.exe文件为隐藏了的系统文件,正常打开还看不到,需要打开相关文件夹权限才能看到:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130120716990.png)
csrss.exe是负责启动挖矿程序conhosts.exe,可以理解成守护进程, 如果进程挂掉,会自动启动。挖矿程序可能是用开源软件cpuminer编译。
下图中的文件都是隐藏系统文件,需要打开相关文件夹权限才能看到: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130120807360.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhbmdmdTEyMw==,size_16,color_FFFFFF,t_70)
conhosts.exe在运行过程中生成了一些挖矿程序需要用到的dll文件:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130120837317.png)
注册表中也被修改,把csrss.exe伪装成系统服务,并随系统启动运行:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130120902330.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhbmdmdTEyMw==,size_16,color_FFFFFF,t_70)
服务中查看这个异常的服务类别:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190130120936356.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhbmdmdTEyMw==,size_16,color_FFFFFF,t_70)
处理方式:停止并禁用这个WMI Adapter Services服务,注意这个服务的可执行文件路径。 删除上述的异常文件。