近期已发现多起长期未更新补丁的windows系统遭到Mirai僵尸网络攻击，入侵后服务器会出现大量对外扫描23，1433等端口

--中招检测：

1.看进程：

image.png

2.看文件：

C:\Windows\system会出现以下文件

image.png

或者

image.png

3.看服务：

image.png

--清理流程：

停止异常服务

删除异常任务计划my1

如果存在mssql，需删除Mssqla等异常数据库管理员，清理异常作业

清理异常的系统管理员账户

删除C:\Windows\system 下的异常文件

删除C:\Windows\debug下的异常文件

删除C:\Windows\SysWOW64和C:\Windows\system32下的异常文件

等等一系列安全检查

必要时请考虑重装系统，重装前需要先彻底清除数据库服务中的威胁

我司提供大致的清理脚本，请下载执行，但不一定能够全部清理干净

http://downinfo.myhostadmin.net/clear.bat

--安全设置：

清理所有异常文件

网卡属性中取消文件共享勾选

修改服务器密码

禁用1433/3306远程访问

mssql/mysql使用普通用户运行

运行输入gpedit.msc->计算机配置->windows设置->安全设置-本地策略-安全选项

image.png

windows2008、2012设置方法：运行输入gpedit.msc->计算机配置->管理模板->windows组件->智能卡

把设置列表中带有“智能卡”关键字的项全部设置为“已禁用”。

windows2003设置方法：运行输入gpedit.msc->计算机配置->windows设置->安全设置->本地策略->安全选项交互式登录：要求智能卡设置为“已禁用”，交互式登录：智能卡移除操作设置为“锁定工作站”。

及时更新系统补丁

来源：西部数码