#每日一记#终端中毒排查

      

   

   在给终端安装上EDR终端后，发现了病毒，于是，这个事情要处理下。

    一、发现病毒

    3月4日给终端安装了EDR软件，查杀到了病毒。

   

    二、处理

    1、一键处置

    在终端上点击“一键处置”，会对病毒进行隔离。

   

    2、查看下病毒文件目录

   

    该文件在当天有过访问。

    将该文件目录打包，放到另外一台电脑上使用火绒杀毒，也有报毒，说明不是误报。

   

    3、审核日志

    在3月4日及之前，发现基本上没有持续的登录失败日志。

   

    不过，不排除利用Windows漏洞直接获取系统权限，上传木马、病毒的可能。

     4、是否有新增的系统账号

     未发现

     

     

    三、加固措施

    1、用户密码策略修改

    修改弱密码，重命名用户名

   

     设置密码复杂性要求：

     

     设置密码尝试登录次数：

      

     2、关闭445等高危端口

      开启防火墙

         

   在防火墙上新增高级入站策略。

     

    3、开启windows补丁自动更新

     

      

    4、下载火绒、360安全、360杀毒进行防护

   

   

   

    使用几个软件一通查杀，再没有查杀到病毒，稍稍安心一点儿。

    四、总结经验

    1、安全意识一定要绷紧，否则就是血淋淋的教训。

    2、网络太危险，上网要谨慎。

    五、其他

    1、wamp服务启动不来

   

    测试下是不是80端口有占用：

   

   

    本机80端口：

     

     禁用IIS服务：

     

    wamp正常：