近期已發(fā)現(xiàn)多起長(zhǎng)期未更新補(bǔ)丁的windows系統(tǒng)遭到Mirai僵尸網(wǎng)絡(luò)攻擊，入侵后服務(wù)器會(huì)出現(xiàn)大量對(duì)外掃描23，1433等端口

--中招檢測(cè)：

1.看進(jìn)程：

2.看文件：
C:\Windows\system會(huì)出現(xiàn)以下文件

或者

3.看服務(wù)：

--清理流程：

1. 停止異常服務(wù)

2. 刪除異常任務(wù)計(jì)劃my1
   

3. 如果存在mssql，需刪除Mssqla等異常數(shù)據(jù)庫(kù)管理員，清理異常作業(yè)

4. 清理異常的系統(tǒng)管理員賬戶
   

5. 刪除C:\Windows\system 下的異常文件

6. 刪除C:\Windows\debug下的異常文件

7. 刪除C:\Windows\SysWOW64和C:\Windows\system32下的異常文件

8. 等等一系列安全檢查

9. 必要時(shí)請(qǐng)考慮重裝系統(tǒng)，重裝前需要先徹底清除數(shù)據(jù)庫(kù)服務(wù)中的威脅
   

我司提供大致的清理腳本，請(qǐng)下載執(zhí)行，但不一定能夠全部清理干凈
http://downinfo.myhostadmin.net/clear.bat

--安全設(shè)置：

1. 清理所有異常文件

2. 網(wǎng)卡屬性中取消文件共享勾選

3. 修改服務(wù)器密碼

4. 禁用1433/3306遠(yuǎn)程訪問(wèn)
   

5. mssql/mysql使用普通用戶運(yùn)行

6. 運(yùn)行輸入gpedit.msc->計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置-本地策略-安全選項(xiàng)

   
   

7. windows2008、2012設(shè)置方法：運(yùn)行輸入gpedit.msc->計(jì)算機(jī)配置->管理模板->windows組件->智能卡
   把設(shè)置列表中帶有“智能卡”關(guān)鍵字的項(xiàng)全部設(shè)置為“已禁用”。

8. windows2003設(shè)置方法：運(yùn)行輸入gpedit.msc->計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->本地策略->安全選項(xiàng)交互式登錄：要求智能卡設(shè)置為“已禁用”，交互式登錄：智能卡移除操作設(shè)置為“鎖定工作站”。

9. 及時(shí)更新系統(tǒng)補(bǔ)丁