12   1  /  2  页   跳转

[求助] 服务器中毒,总是被攻击

服务器中毒,总是被攻击

我公司的服务器现在总是被攻击,每次开机会多给我增加几个开机用户名,或者安装其他些软件,  开机启动的时候,进程里会有cmd.exe  ,  rmnlik.exe  还有个 vqbdmm.exe  后台程序  我查不到  所以问下  ,  用杀毒软件查杀没有什么用,查了总是反复,装了防火墙效果也不明显    总是跳出来有病毒

然后C:\  会有很多这些东西,在附件!



麻烦高手帮我搞定,每天都跳病毒,烦躁死了,由于是服务器不能随便重装!!

扫描以上传

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SE 2.X MetaSr 1.0)

附件附件:

文件名:SREngLOG.log
下载次数:268
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-29 14:48:52
描述:log

最后编辑_呈 最后编辑于 2011-06-29 14:48:52
分享到:
gototop
 

回复 1F _呈 的帖子

下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html
gototop
 

回复 2F networkedition 的帖子

扫描日志已上传了
最后编辑_呈 最后编辑于 2011-06-29 14:56:25
gototop
 

回复 3F _呈 的帖子

c:\program files\common files\microsoft shared\msinfo\nwho0e0k.exe
以上文件找到压缩发来。
gototop
 

回复 4F networkedition 的帖子

上传

附件附件:

文件名:nWHO0E0K.rar
下载次数:329
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-29 15:08:38
描述:rar

gototop
 

回复 5F _呈 的帖子

样本已收集反馈,另删除这个文件:c:\program files\common files\microsoft shared\msinfo\nwho0e0k.exe
吧。
下载这个工具删除:http://bbs.ikaka.com/attachment.aspx?attachmentid=653828
lz系统安装了sqlserver,建议设置sa密码为强密码,打sqlserver软件补丁,修改sqlserver默认1433端口等防范措施。
gototop
 

回复 6F networkedition 的帖子

谢谢版主    文件我已经删了    但是每次电脑启动进程里还是会有 CMD,EXE  自己运行    杀毒软件还是会报毒

然后我这个工具删文件的时候,总是卡住死机
gototop
 

回复 7F _呈 的帖子

扫描新的日志来看一下。
gototop
 

回复:服务器中毒,总是被攻击

先把c:\*.*加入路径策略,那样C盘根目录的病毒可以不让他启动,再重启观察看看,还有按大版主说的密码与端口更改一下,要不然你怎么杀都是治标不治本
gototop
 

回复:服务器中毒,总是被攻击

楼主都用了COMODO

难道没禁止这些???
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT