首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 求助问答
    3. 发新帖
[求助]我的服务器是不是被人黑了
2019-12-7 23:07 1912

[求助]我的服务器是不是被人黑了

snaker00 活跃值
2019-12-7 23:07
1912
window server 2012系统,netstat -ano发现很多连接,如下:

查看pid后发现都是 powershell.exe程序,但是找不到运行文件在哪?求教

阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

收藏
点赞0
打赏
分享
最新回复 (7)
icesnowwise
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
icesnowwise 2019-12-7 23:16
2
0
这就是典型无文件攻击,本来就找不到文件。
重启看看会不会还有这个进程,还有的话就可能写进了注册表之类的。
snaker00
雪    币: 632
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
snaker00 2019-12-7 23:20
3
0
icesnowwise 这就是典型无文件攻击,本来就找不到文件。 重启看看会不会还有这个进程,还有的话就可能写进了注册表之类的。
那怎么查看他是通过什么方式进来?怎么查杀
icesnowwise
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
icesnowwise 2019-12-7 23:27
4
0
这个看你开了什么服务了,进来的方式很多,我也不可能凭空就知道你这个是什么情况,
查杀的话,在还不清楚他怎么进来的情况下,直接禁用powershell和cmd吧
snaker00
雪    币: 632
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
snaker00 2019-12-7 23:37
5
0
icesnowwise 这个看你开了什么服务了,进来的方式很多,我也不可能凭空就知道你这个是什么情况, 查杀的话,在还不清楚他怎么进来的情况下,直接禁用powershell和cmd吧
那怎么才能查到他运行的什么脚本或什么程序?
白菜大哥
雪    币: 12500
活跃值: (3043)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
白菜大哥 2019-12-8 00:07
6
0
snaker00 那怎么才能查到他运行的什么脚本或什么程序?
dump内存,或者双机调试。。
stand ot law
雪    币: 835
活跃值: (612)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
stand ot law 2019-12-8 01:55
7
0
dayang
雪    币: 220
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dayang 2019-12-8 09:39
8
0
查找POWERSHELL的父进程
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回