聲明:本文轉(zhuǎn)自看雪論壇(https://bbs.pediy.com/thread-261162.htm)。
前兩天,朋友遇到一個(gè)線上 cpu 占用率很高的問題,我們倆一起快速定位并解決了這個(gè)問題。在征求朋友同意后,特發(fā)此文分享整個(gè)過(guò)程。本文以對(duì)話的形式展開,加上我的內(nèi)心獨(dú)白。文中對(duì)話與實(shí)際對(duì)話略有出入。
友: 在嗎?
我: 怎么了兄弟?
友: 這邊有一臺(tái)服務(wù)器客戶說(shuō) cpu 占用率高,懷疑挖礦了。
我: 用 wpr 抓一下吧,這是個(gè)服務(wù)進(jìn)程。
旁白:一看截圖是 svchost 進(jìn)程,最先想到的是抓一個(gè)系統(tǒng)運(yùn)行過(guò)程。正常情況下,svchost 是微軟的服務(wù)進(jìn)程。
我: 看看是什么服務(wù)。
旁白:盡量縮小范圍,此時(shí)我潛意識(shí)里還以為是朋友自己的程序出了問題。
我: 先看看命令行 看看是哪類服務(wù)。
旁白:通過(guò)命令行可以看出啟動(dòng)的是什么類型的服務(wù)。
友:
我:svchost 應(yīng)該不會(huì)放到 c:temp 下面的,應(yīng)該是個(gè)病毒了。
旁白:正常的 svchost 不會(huì)在 c:temp 下出現(xiàn),而是在 C:windowsSystem32 下。
我: 看看這個(gè)程序有微軟簽名嗎?
旁白:為了進(jìn)一步確認(rèn),請(qǐng)朋友確認(rèn)這個(gè) svchost 是否有微軟的簽名。如果沒簽名,是病毒無(wú)疑了。
友:
我: 這個(gè)文件沒簽名的?
旁白:WC,沒想到還真是病毒。
我: 應(yīng)該是被人動(dòng)過(guò)手腳了。
我: 用 autoruns 看下啟動(dòng)項(xiàng)。
旁白:確定是病毒后,接下來(lái)的任務(wù)就是殺毒了。先查下這個(gè)病毒是怎么運(yùn)行起來(lái)的吧。
從上面的截圖中我看到了 svchost.exe 的父進(jìn)程是 taskhost.exe。
我: 到 schedule task 下面找到可疑的啟動(dòng)項(xiàng),刪掉。這個(gè)進(jìn)程可以直接殺了,應(yīng)該是中毒了。
旁白:從上面的截圖中我看到了svchost.exe的父進(jìn)程是taskhost.exe。
友:
我: 管理員權(quán)限開了嗎?看上去沒有可疑的。
旁白:朋友開了管理員權(quán)限,也沒有發(fā)現(xiàn)可疑項(xiàng)目。
我: 看下服務(wù)里面有沒有可疑的。
旁白:有可能是通過(guò)服務(wù)啟動(dòng)的。
友:
我: 可疑!
友: 這個(gè)里面也沒簽名。
友: 中毒了。
友: 謝謝!
旁白:朋友還順便發(fā)了個(gè)紅包,太客氣了!
