本文主要是介绍windows服务器被当矿机的问题处理实战-conhosts.exe,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
windows服务器被当矿机的问题处理实战-conhosts.exe
服务器最近比较卡,调开任务管理器查看,CPU占用偏高,发现进程 conhosts.exe,占用CPU 75%:
通过pid查询,该进程通过syn_sent向陌生IP 163.172.226.218的7777端口发送数据,应该就是挖出来的比特币算法一类的数据。这个陌生IP是个英国的IP,涂红的IP是我服务器自身的IP地址:
异常进程会通过explorer.exe 引导,这个explorer.exe文件为隐藏了的系统文件,正常打开还看不到,需要打开相关文件夹权限才能看到:
csrss.exe是负责启动挖矿程序conhosts.exe,可以理解成守护进程, 如果进程挂掉,会自动启动。挖矿程序可能是用开源软件cpuminer编译。
下图中的文件都是隐藏系统文件,需要打开相关文件夹权限才能看到: 
conhosts.exe在运行过程中生成了一些挖矿程序需要用到的dll文件:
注册表中也被修改,把csrss.exe伪装成系统服务,并随系统启动运行:
服务中查看这个异常的服务类别:
处理方式:停止并禁用这个WMI Adapter Services服务,注意这个服务的可执行文件路径。 删除上述的异常文件。
这篇关于windows服务器被当矿机的问题处理实战-conhosts.exe的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
