Mirai变种僵尸网络攻击预警

近期已发现多起长期未更新补丁的windows系统遭到Mirai僵尸网络攻击，入侵后服务器会出现大量对外扫描23，1433等端口

--中招检测：

1.看进程：

2.看文件：
C:\Windows\system会出现以下文件

或者

3.看服务：

--清理流程：

1. 停止异常服务

2. 删除异常任务计划my1
   

3. 如果存在mssql，需删除Mssqla等异常数据库管理员，清理异常作业

4. 清理异常的系统管理员账户
   

5. 删除C:\Windows\system 下的异常文件

6. 删除C:\Windows\debug下的异常文件

7. 删除C:\Windows\SysWOW64和C:\Windows\system32下的异常文件

8. 等等一系列安全检查

9. 必要时请考虑重装系统，重装前需要先彻底清除数据库服务中的威胁
   

我司提供大致的清理脚本，请下载执行，但不一定能够全部清理干净
http://downinfo.myhostadmin.net/clear.bat

--安全设置：

1. 清理所有异常文件

2. 网卡属性中取消文件共享勾选

3. 修改服务器密码

4. 禁用1433/3306远程访问
   

5. mssql/mysql使用普通用户运行

6. 运行输入gpedit.msc->计算机配置->windows设置->安全设置-本地策略-安全选项

   
   

7. windows2008、2012设置方法：运行输入gpedit.msc->计算机配置->管理模板->windows组件->智能卡
   把设置列表中带有“智能卡”关键字的项全部设置为“已禁用”。

8. windows2003设置方法：运行输入gpedit.msc->计算机配置->windows设置->安全设置->本地策略->安全选项交互式登录：要求智能卡设置为“已禁用”，交互式登录：智能卡移除操作设置为“锁定工作站”。

9. 及时更新系统补丁