V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gvdlmjwje
V2EX  ›  问与答

windows 服务器中出现随机字母组成的奇怪服务名

  •  
  •   gvdlmjwje · 137 天前 · 954 次点击
    这是一个创建于 137 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近在几台服务器上发现很多由 4 个随机字母组成的服务名,且服务属性中显示在 windows 目录下存在随机名组成的 exe 文件,不过这些 exe 都已经没有了。另外,部分 exe 存在计划任务。

    执行过杀软和 EDR 的扫描,未见有什么异常。

    有没有老哥知道这些是啥玩意儿?


    第 1 条附言  ·  136 天前
    后来在 360 恢复区找到了原始 exe ,发 md5 给深信服的分析了下,这玩意儿就是木马。属于 remcomsvc 类 hacktool 。
    解决方法:直接用 HiBitUninstaller 把木马的服务、注册表和计划任务删掉;更新 windows 补丁。实测 360 、SEP 、深信服 EDR 都能查杀。
    8 条回复    2024-08-02 15:27:30 +08:00
    klxyy
        1
    klxyy  
       137 天前
    叫你在服务器里乱装软件
    yyzh
        2
    yyzh  
       137 天前 via Android
    一般都是立即断网备份然后重装系统
    opengps
        3
    opengps  
       137 天前
    这玩意,每次都有新身份,每次用完都要变身,那很明显不是好东西
    lcorange
        4
    lcorange  
       137 天前
    重装系统吧,windows 文件夹下面肯定不会有这种 exe 的
    sabermiao
        5
    sabermiao  
       137 天前   ❤️ 1
    明显是被 psexec 之类的方式打了
    gvdlmjwje
        6
    gvdlmjwje  
    OP
       137 天前
    @klxyy 冤枉啊 不是我干的 接手的时候就有了- -|||
    yinmin
        7
    yinmin  
       137 天前   ❤️ 1
    如果接手时间不长,把锅甩出去。直接向领导打报告,说明服务器有被入侵的痕迹,要求重装服务器。

    你根本不知道黑客在哪个地方留后手,没必要折腾,时间长了就是自己背锅。
    gvdlmjwje
        8
    gvdlmjwje  
    OP
       136 天前
    @sabermiao 差不多,是 remcomsvc 类工具打的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5170 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 06:49 · PVG 14:49 · LAX 22:49 · JFK 01:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.