运气好得不得了,又被挖矿了,而且这次完全没有头绪。简单说下目前掌握的信息。1.父进程是svchost.exe-knetsvcs。父进程svchost启动的挖矿进程是svchost.exe。指向的地址是http://91.121.2.76:80直接在浏览器中访问的话能看到pool.minexmr.com030418onlineid11010002.杀进程不起作用,过一会会自动启动。3.杀毒扫不出任何
最近发现gihub上早已有人把powershell的restfulwebapi做好了,而且是自宿主的owin。比上次用到的httplistener健壮许多。貌似还是支持job,runspace的。https://github.com/DimensionDataCBUSydney/PowerShell.REST.API过程其实比较简单,html不用变,js只需要把拼装webapiurl的地方修改下就
新年伊始,所在公司运气值飙升,受到了powershell挖矿攻击,占cpu75%,而且传播速度很快,大有泛滥之势。看进程都是混淆过的代码。以前都靠的杀毒软件,这次都不好用了,趋势完全没反应,360在被攻击时才有提示,但提示的是cmd.exe,而且只有部分机器装了360。杀软指不上了,看来只能自己手动了,不过没有类似经验,真有点不知何从下手。好在有点powershell的功底,第一步,先解析了下混淆
Windows7KB3139398Windows10KB4054517AD环境下,上面两个更新失败,经过多次尝试发现,原来是因为GPO中对USB端口禁用造成的。禁用USB的GPO会修改usbstor.inf,usbstor.pnf的安全权限设置,把权限都删除掉,改成继承自inf文件夹,然后再重启,就可以正常安装了。一定要保证重启的时候,权限没有被GPO更新回去。
我接触到的PowerShellGUI化工具制作有三种方式一.Web-------------B/S架构二.WPF------------C/S架构三.WinForm-------C/S架构一.Web详见我的另一篇http://blog.51cto.com/640006/2059918二.WPFWPF介绍,可以参考http://liutiemeng.blog.51cto.com/120361/916
QQ群里的Evan童鞋分享了一个利用Flask调用PowershellAPI实现的运维管理系统。可惜现在该分享被删除了。很喜欢,所以也依样画葫芦做了一个。后来发现豆子同学实现了一个django的,http://blog.51cto.com/beanxyz/1979809原理其实都一样,主要就是用Django/Flask框架,Bootstrap做前端,然后后台python调用PowerShellAP
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
