周期不周期的不知道牙, 我直观的感受是今年裁员多啊~
PS: 感谢楼上提供的 block~

@cpdyj0 我中的那个比较简陋, 直接输出了日志, 你可以 process explorer 抓一下它执行的命令, 去看看有没有可疑的可读文件

当你用 js 写起了数据存取, 资格认证, 数据分析, balabala, 恭喜你, 你就是一个后端人员了~ [:doge]保命
前后端的叫法是用来区分职责的嘛~

您好, 您的建议我们已经收到, 请您耐心等候. [:doge]

好看+1

女装+1

现在是融资困难期, AI 这个所谓的新增长点, 除了大公司内部做的外, 盈利的好像都是在做数据支持的小团队, 所以, 如果有的选, 我仍然建议选择高起点, 去大公司, 要是实在喜欢这家, 选 3, 拿现金

@jasonyang9 还不确认, 因为我把防火墙关了, 不知道是激活工具的原因还是局域网内有机器感染了, 传播给我的

@jasonyang9 感谢提供的支持， 已确认是木马， 通过 445 或 3389 传播， 会伪装成系统进程访问境外 ip。

@JiZhiDeboy 我的是木马， 已确认。

@maplerecall 是一个叫做 DOULE PULSAR 的后门程序.

@crab 我找到了它的配置文件和输出日志.

@jasonyang9
@cdwyd

应该是一个伪 windows search 的进程. 找到了输出的日志和配置, 是一个后门程序, 目前怀疑是使用的激活器注入的, 但不知道具体目的是什么.

@cdwyd 我的是一直在飙升着的, 目前追查到 pid 固定为 912 的一个 svchost.exe 进程, 虽然我禁用了 windows search, 仍然启动了 searchIndexer.exe 进程

@jasonyang9
http://codeh.cn/old/image/912.jpg
http://codeh.cn/old/image/12236.jpg

service 如图, 看不出哪个是非正常服务~

@urmyfaith 嗯哼?

@jasonyang9 现在 svchost.exe 下去了, ctfmon.exe 上来了, 我试试 Process Explorer

@jasonyang9 我看了一下这个进程的网络活动, 指向了 ip:216.250.99.52:443

@jasonyang9 现在是 svchost.exe windows 服务主进程