關(guān)于winlogin.exe進(jìn)程將CPU沾滿(mǎn)的解決方案
最近一直受到阿里云的警告:
惡意進(jìn)程(云查殺)-可疑礦機(jī)通信或者惡意進(jìn)程(云查殺)-挖礦進(jìn)程
懷疑一:第三方在通過(guò)遠(yuǎn)程桌面協(xié)議端口不能的訪問(wèn)服務(wù)器,企圖模擬登陸進(jìn)去
解決方案:將默認(rèn)端口號(hào)修改掉,如何修改摸這里,如果是阿里云服務(wù)器記得到阿里云服務(wù)器的安全組中打開(kāi)和關(guān)閉相應(yīng)的端口。
修改下來(lái)之后發(fā)現(xiàn)CPU使用率并沒(méi)有下來(lái),看來(lái)不是這個(gè)問(wèn)題。
那目前就只能懷疑是被木馬注入了,那就就開(kāi)始查可疑進(jìn)程,發(fā)現(xiàn)進(jìn)程里面一直有一個(gè)winlogon.exe的進(jìn)程CPU占比一直在99%。該進(jìn)程和其他的winlogon.exe進(jìn)程看上去一樣,但是描述卻不一樣,也無(wú)法結(jié)束進(jìn)程,基本上可以判定就是它搗的鬼。但是卻始終無(wú)法定位到進(jìn)程所在位置,網(wǎng)上百度了一堆也不靠譜。
然后就再往下看有沒(méi)有其他異常的進(jìn)程,結(jié)果果然發(fā)現(xiàn)了一個(gè)異常的進(jìn)程描述。雖然我英語(yǔ)比較挫,但是還是看出來(lái)這個(gè)進(jìn)程描述很不友好。百度了下這個(gè)進(jìn)程,發(fā)現(xiàn)lasss在系統(tǒng)里面一般只有一個(gè),如果超過(guò)一個(gè),那大概率是木馬。
然后就查看了下他的程序所在位置,這下有了。
然后在正在執(zhí)行的服務(wù)中多看了一眼,跟他相同位置的服務(wù),果然也有。
找到這個(gè)正在執(zhí)行的服務(wù),停掉他,原來(lái)的兩個(gè)木馬進(jìn)程立馬消失,CPU恢復(fù)正常。整個(gè)世界瞬間美好了。
然后再CMD里面執(zhí)行命令 sc delete Wlansvcc,將該服務(wù)刪掉,然后再刪掉相關(guān)的文件夾,結(jié)束。
最后,木馬一般都會(huì)偽裝成正常的進(jìn)程或服務(wù),而且是層層偽裝,很難查找。這次我也是找了半天,在很偶然的情況下,看了眼進(jìn)程的描述,最終才定位到木馬的位置的。
服務(wù)器常用的默認(rèn)端口號(hào):
80 http
443 https
MS SQL 1433
RDP 3389