บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

VM ของฉันถูกโจมตีหรือนี่เป็นการทำงานอัตโนมัติที่ผิดพลาดหรือไม่

ธง dz
georgiosd

ฉันสังเกตเห็นว่า VM ของ Windows Server 2019 ซึ่งโฮสต์บน GCP มักจะใช้งาน CPU เกิน 100% ซึ่งถือว่าแปลกและเริ่มตรวจสอบ ดูเหมือนว่ามีอาร์เรย์ของคำสั่ง PowerShell ที่ทำงานซ้ำๆ ซึ่งกิน CPU ทั้งหมด

คำสั่งเหล่านี้ดูเหมือนจะสแกนหาอ็อบเจกต์ผู้ใช้ที่มีชื่อเฉพาะ ดังนั้นมันจึงเป็นได้ทั้ง GCP Guard หรือเวิร์ม/ไวรัสบางชนิด ฉันตาม คำแนะนำเหล่านี้ เพื่อบันทึกทุกอย่างเกี่ยวกับ PowerShell แต่มันไม่ได้ทำให้กระจ่างมากนักเพราะไม่มีไฟล์สคริปต์ คำสั่งจะถูกส่งผ่านเป็นอาร์กิวเมนต์ไปยัง PowerShell และพวกมันจะถูกรันอยู่เสมอ ระบบ ผู้ใช้

ตัวอย่างคำสั่ง:

CommandInvocation (ส่งออกโมดูลสมาชิก): "ส่งออกโมดูลสมาชิก"
ParameterBinding(ส่งออกโมดูลสมาชิก): name="Function"; ค่า = "Unregister-ClusteredScheduledTask"
ParameterBinding(ส่งออกโมดูลสมาชิก): name="Alias"; ค่า="*"


บริบท:
        ความรุนแรง = ข้อมูล
        ชื่อโฮสต์ = ConsoleHost
        เวอร์ชันโฮสต์ = 5.1.17763.2183
        รหัสโฮสต์ = f786eeed-384f-4544-9869-0a9e6d414274
        โฮสต์แอ็พพลิเคชัน = powershell Get-ScheduledTask | Where-Object { ($_.Principal.userid -like "*administrator*") -and (($_.Principal.LogonType -eq 'Password') -or ($_.Principal.LogonType -eq 'InteractiveOrPassword') ) } | ชื่องานของ Select-Object, @{n='Execute'; e={[System.IO.Path]::GetFileName([System.Environment]::ExpandEnvironmentVariables($_.Actions.Execute).Trim(""""))}}, @{n='อาร์กิวเมนต์'; e={[System.Environment]::ExpandEnvironmentVariables($_.Actions.Arguments)}}

CommandInvocation (นอกค่าเริ่มต้น): "นอกค่าเริ่มต้น"


บริบท:
        ความรุนแรง = ข้อมูล
        ชื่อโฮสต์ = ConsoleHost
        เวอร์ชันโฮสต์ = 5.1.17763.2183
        รหัสโฮสต์ = aa27bff6-1e9f-482f-9e6f-bfb8b0a0648a
        แอปพลิเคชันโฮสต์ = powershell Get-WmiObject Win32_Service | Where-Object {$_.startname -Like '*INSPECTION*'}

ฉันลองสแกน VM ด้วย Trend Micro Housecall และ MBAM แต่ทั้งสองโปรแกรมไม่พบภัยคุกคามใด ๆ ยกเว้นคำขอซ้ำ ๆ ไปยังพอร์ต 3389 ซึ่งน่าจะเป็นความพยายามที่ดุร้าย

นี่เป็นการโจมตีหรือไม่? ถ้าเป็นเช่นนั้น ฉันจะปิดการใช้งานได้อย่างไร

84
0 + 0
Score:0
user3192295 avatar Server
ธง in
user3192295

ดูเหมือนบันทึกระบบมากขึ้น เช่น มีบางอย่างไม่เป็นไปตามที่ควรจะเป็น บางทีนี่อาจช่วยคุณได้ ... https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/unregister-clusteredscheduledtask?view=windowsserver2019-ps

0 + 0
dz flag
georgiosd
อะไรทำให้คุณพูดแบบนั้น? ตัวอย่างอื่น ๆ ที่ฉันเห็นคือการสแกนชื่อผู้ใช้เฉพาะ นั่นคือการป้องกันความผิด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา