Windows 防范门罗币挖矿病毒

本教程适用于被黑的2003/2008/2012等 Windows Server 系统。

近期永恒之蓝漏洞仍然爆发,有不少客户的VPS在不知情的情况下中招,毫无价值的服务器被用于挖矿(比特币、门罗币等),造成CPU长时间100%。

凡是在 2017年5月15日之前购买VPS且安装以上系统的客户,请尽快按本次教程操作。

1、已经被黑的客户

病毒伪造进程为svchost.exe ,CPU 长期占用80%-100%以上的客户,安装金山毒霸(或360 或 服务器安全狗)进行查毒。

360杀毒(http://sd.360.cn/):

http://down.360.cn/360sd/360sd_std_5.0.0.8061.exe

2、安装Windows补丁

Windows Server 2003 KB4012598 32位:

http://soft.v5.net/package/2003/windowsserver2003-kb4012598-x86-custom-chs.exe

Windows Server 2008或以上版本

以下为2008R2 SP1、2012R2、2016补丁


-------------------------------
2008R2 SP1补丁 KB4012212、KB4012215(两个补丁都需要打)
-------------------------------
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

打不上的同学(提示“此更新不适用于您的计算机”)可能用的是2008R2(而非2008R2 SP1),请先打SP1升级补丁,升级为2008R2 SP1,才能打上这2个补丁
Windows Server 2008 R2 Service Pack 1 (KB976932)
https://download.microsoft.com/download/0/A/F/0AFB5316-3062-494A-AB78-7FB0D4461357/windows6.1-KB976932-X64.exe

怎么看版本,同时按Windows键+R键,在运行对话框中输入winver,显示的是
内部版本7600(2008R2)
内部版本是7601(2008R2 SP1)

如果还打不上,可以查看下是否已经打上了后续的滚动补丁包,如果已经打过后面的滚动补丁包(包含前面的所有补丁),就无需再打上面这2个补丁


-------------------------------
2012R2补丁 KB4012213、KB4012216(两个补丁都需要打)
-------------------------------
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu

打不上的同学(提示“此更新不适用于您的计算机”)可能用的是2012R2(2013发布)原始版本(而非2014年底发布的2012R2 with Update),需要先升级以下3个补丁,才能打上面这2个补丁
KB2919442
https://download.microsoft.com/download/D/6/0/D60ED3E0-93A5-4505-8F6A-8D0A5DA16C8A/Windows8.1-KB2919442-x64.msu
clearcompressionflag.exe
https://download.microsoft.com/download/2/5/6/256CCCFB-5341-4A8D-A277-8A81B21A1E35/clearcompressionflag.exe
KB2919355
https://download.microsoft.com/download/2/5/6/256CCCFB-5341-4A8D-A277-8A81B21A1E35/Windows8.1-KB2919355-x64.msu

如果还打不上,可以查看下是否已经打上了后续的滚动补丁包,如果已经打过后面的滚动补丁包(包含前面的所有补丁),就无需再打上面这2个补丁

-------------------------------
2016补丁 KB4013429
-------------------------------
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

 

部分内容转载自:

http://www.hostloc.com/thread-365738-1-1.html

 



转载内容请注明出处: 转载自V5.Net(原文:https://v5.net/Security/windows-wana-patch.html