windows服务器被当矿机的问题处理实战-conhosts.exe

服务器被当矿机的问题处理实战-.exe

服务器最近比较卡，调开任务管理器查看，CPU占用偏高，发现进程 .exe，占用CPU 75%：

通过pid查询，该进程通过向陌生IP 163.172.226.218的7777端口发送数据，应该就是挖出来的比特币算法一类的数据。这个陌生IP是个英国的IP，涂红的IP是我服务器自身的IP地址：

异常进程会通过.exe 引导，这个.exe文件为隐藏了的系统文件，正常打开还看不到，需要打开相关文件夹权限才能看到：

csrss.exe是负责启动挖矿程序.exe,可以理解成守护进程， 如果进程挂掉，会自动启动。挖矿程序可能是用开源软件编译。

下图中的文件都是隐藏系统文件，需要打开相关文件夹权限才能看到：

.exe在运行过程中生成了一些挖矿程序需要用到的dll文件：

注册表中也被修改，把csrss.exe伪装成系统服务，并随系统启动运行：

服务中查看这个异常的服务类别：

处理方式：停止并禁用这个WMI 服务，注意这个服务的可执行文件路径。 删除上述的异常文件。