在给终端安装上EDR终端后,发现了病毒,于是,这个事情要处理下。
一、发现病毒
3月4日给终端安装了EDR软件,查杀到了病毒。
二、处理
1、一键处置
在终端上点击“一键处置”,会对病毒进行隔离。
2、查看下病毒文件目录
该文件在当天有过访问。
将该文件目录打包,放到另外一台电脑上使用火绒杀毒,也有报毒,说明不是误报。
3、审核日志
在3月4日及之前,发现基本上没有持续的登录失败日志。
不过,不排除利用Windows漏洞直接获取系统权限,上传木马、病毒的可能。
4、是否有新增的系统账号
未发现
三、加固措施
1、用户密码策略修改
修改弱密码,重命名用户名
设置密码复杂性要求:
设置密码尝试登录次数:
2、关闭445等高危端口
开启防火墙
在防火墙上新增高级入站策略。
3、开启windows补丁自动更新
4、下载火绒、360安全、360杀毒进行防护
使用几个软件一通查杀,再没有查杀到病毒,稍稍安心一点儿。
四、总结经验
1、安全意识一定要绷紧,否则就是血淋淋的教训。
2、网络太危险,上网要谨慎。
五、其他
1、wamp服务启动不来
测试下是不是80端口有占用: