首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]我的服务器是不是被人黑了
发表于: 2019-12-7 23:07 2113

未解决 [求助]我的服务器是不是被人黑了

snaker00 活跃值
2019-12-7 23:07
2113
window server 2012系统,netstat -ano发现很多连接,如下:

查看pid后发现都是 powershell.exe程序,但是找不到运行文件在哪?求教

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
icesnowwise
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这就是典型无文件攻击,本来就找不到文件。
重启看看会不会还有这个进程,还有的话就可能写进了注册表之类的。
2019-12-7 23:16
0
snaker00
雪    币: 632
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
icesnowwise 这就是典型无文件攻击,本来就找不到文件。 重启看看会不会还有这个进程,还有的话就可能写进了注册表之类的。
那怎么查看他是通过什么方式进来?怎么查杀
2019-12-7 23:20
0
icesnowwise
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这个看你开了什么服务了,进来的方式很多,我也不可能凭空就知道你这个是什么情况,
查杀的话,在还不清楚他怎么进来的情况下,直接禁用powershell和cmd吧
2019-12-7 23:27
0
snaker00
雪    币: 632
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
icesnowwise 这个看你开了什么服务了,进来的方式很多,我也不可能凭空就知道你这个是什么情况, 查杀的话,在还不清楚他怎么进来的情况下,直接禁用powershell和cmd吧
那怎么才能查到他运行的什么脚本或什么程序?
2019-12-7 23:37
0
白菜大哥
雪    币: 12502
活跃值: (3068)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
snaker00 那怎么才能查到他运行的什么脚本或什么程序?
dump内存,或者双机调试。。
2019-12-8 00:07
0
stand ot law
雪    币: 858
活跃值: (643)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
2019-12-8 01:55
0
dayang
雪    币: 220
活跃值: (781)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
查找POWERSHELL的父进程
2019-12-8 09:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//