【安全防护】恶意进程要怎么结束？

【安全防护】恶意进程要怎么结束?今天朋友说他的站被菠菜公司做了跳转，当他改回去后又被别人改回来了，被气的要死，于是便让我帮忙看看。反正我也不忙，于是远程登陆他的服务器看了一下。首先看了一下日志，妈的，都被清理了，而且貌似还恢复不了。查看了一下用户，发现多了一个用户，很明显这个黑客提权成功了，但是却是直接创建用户，并不是克隆用户或者其他操作。先把用户删了吧，然后继续找，在一个后台图片上传点看到一个php文件，下载下来看了一下，是个一句话木马，顺手把它删了。然后看看还有什么奇怪的东西。习惯性的看了下C盘。没想到竟然就有收获了

很明显多了一个奇怪的文件夹，点开一看

很明显，对方用了MS16-075提权成功的。那就把他删了吧

妈耶，难道对方还在连接?

根据经验，meterpreter一般生成的连接马都喜欢直接用端口连接，方便记忆。

Netstat -aon |findstr “3306”

这个非常可疑;输入命令

Tasklist | findstr 2204

果然就是这个家伙还在连接，先把对方IP记下，等回去再看看能不能挖出其他有价值的线索。

先把问题解决，结束进程

~

成功删除

总结：我对朋友的网站做了整体测试，初步断定弱口令，因为密码跟后台地址一样，虽然后台地址设置的很复杂，但是依然用工具跑出来了，所以建议更新CMS，或者/tags.php等改名，没必要的话就删了。然后服务器补丁不够，虽然安装了安全狗，但是一些目录还是得写死，最后后台上传点最好设置白名单验证。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有