Регистрация Войти
Рейтинг:0
avatar Server

Моя виртуальная машина атакована или это автоматизация пошла не так?

флаг dz
georgiosd

Я заметил, что наши виртуальные машины Windows Server 2019, размещенные на GCP, часто загружали ЦП на 100%, что было странно, и начал расследование. Кажется, что существует множество команд PowerShell, которые выполняются многократно и потребляют весь ЦП.

Эти команды, кажется, сканируют пользовательские объекты с определенными именами, так что это либо защита GCP, либо какой-то червь/вирус. Я последовал за эти инструкции чтобы регистрировать все о PowerShell, но это не проливает много света, потому что нет файла сценария, команды передаются в качестве аргументов в PowerShell, и они всегда запускаются СИСТЕМА пользователь.

Примеры команд:

CommandInvocation (Export-ModuleMember): «Экспорт-ModuleMember»
ParameterBinding (Export-ModuleMember): имя = "Функция"; value="Отменить регистрацию-ClusteredScheduledTask"
ParameterBinding(Export-ModuleMember): name="Псевдоним"; значение = "*"


Контекст:
        Серьезность = Информационная
        Имя хоста = ConsoleHost
        Версия хоста = 5.1.17763.2183
        Идентификатор хоста = f786eeed-384f-4544-9869-0a9e6d414274
        Хост-приложение = powershell Get-ScheduledTask | Where-Object { ($_.Principal.userid -like "*administrator*") -and (($_.Principal.LogonType -eq 'Пароль') -or ($_.Principal.LogonType -eq 'InteractiveOrPassword') ) } | Select-Object TaskName, @{n='Execute'; e={[System.IO.Path]::GetFileName([System.Environment]::ExpandEnvironmentVariables($_.Actions.Execute).Trim(""""))}}, @{n='Аргументы'; e={[System.Environment]::ExpandEnvironmentVariables($_.Actions.Arguments)}}

CommandInvocation(Out-Default): "Out-Default"


Контекст:
        Серьезность = Информационная
        Имя хоста = ConsoleHost
        Версия хоста = 5.1.17763.2183
        Идентификатор хоста = aa27bff6-1e9f-482f-9e6f-bfb8b0a0648a
        Хост-приложение = powershell Get-WmiObject Win32_Service | Где-Объект {$_.startname -Like '*ПРОВЕРКА*'}

Я попытался просканировать виртуальную машину с помощью Trend Micro Housecall и MBAM, но обе программы не обнаружили никаких угроз, за ​​исключением повторных запросов к порту 3389, которые предположительно являются попытками грубой силы.

Это нападение? Если да, то как его отключить?

84
0 + 0
Рейтинг:0
user3192295 avatar Server
флаг in
user3192295

больше похоже на системный журнал, как будто что-то пошло не так, как должно быть. Может быть, это поможет на вашем пути ... https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/unregister-clusteredscheduledtask?view=windowsserver2019-ps

0 + 0
флаг dz
georgiosd
что заставляет тебя говорить это? Другим примером, который я видел, было сканирование определенных имен пользователей. Так что это либо защита от нападения.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.