Mirai變種僵尸網(wǎng)絡攻擊預警

近期已發(fā)現(xiàn)多起長期未更新補丁的windows系統(tǒng)遭到Mirai僵尸網(wǎng)絡攻擊，入侵后服務器會出現(xiàn)大量對外掃描23，1433等端口

--中招檢測：

1.看進程：

2.看文件：
C:\Windows\system會出現(xiàn)以下文件

或者

3.看服務：

--清理流程：

1. 停止異常服務

2. 刪除異常任務計劃my1
   

3. 如果存在mssql，需刪除Mssqla等異常數(shù)據(jù)庫管理員，清理異常作業(yè)

4. 清理異常的系統(tǒng)管理員賬戶
   

5. 刪除C:\Windows\system 下的異常文件

6. 刪除C:\Windows\debug下的異常文件

7. 刪除C:\Windows\SysWOW64和C:\Windows\system32下的異常文件

8. 等等一系列安全檢查

9. 必要時請考慮重裝系統(tǒng)，重裝前需要先徹底清除數(shù)據(jù)庫服務中的威脅
   

我司提供大致的清理腳本，請下載執(zhí)行，但不一定能夠全部清理干凈
http://downinfo.myhostadmin.net/clear.bat

--安全設置：

1. 清理所有異常文件

2. 網(wǎng)卡屬性中取消文件共享勾選

3. 修改服務器密碼

4. 禁用1433/3306遠程訪問
   

5. mssql/mysql使用普通用戶運行

6. 運行輸入gpedit.msc->計算機配置->windows設置->安全設置-本地策略-安全選項

   
   

7. windows2008、2012設置方法：運行輸入gpedit.msc->計算機配置->管理模板->windows組件->智能卡
   把設置列表中帶有“智能卡”關鍵字的項全部設置為“已禁用”。

8. windows2003設置方法：運行輸入gpedit.msc->計算機配置->windows設置->安全設置->本地策略->安全選項交互式登錄：要求智能卡設置為“已禁用”，交互式登錄：智能卡移除操作設置為“鎖定工作站”。

9. 及時更新系統(tǒng)補丁