就在几天前,遇到了一次挖矿程序偷偷装在ECS阿里云服务器上的经历。

那是一个风和日丽的上午,我和往常一样来到公司,倒杯水等待电脑打开,之后打开日常维护的几个系统。

结果其中有一个OA系统,发现无法正常打开。一开始我以为是网络问题,但是发现打开其他网站正常,于是登上服务器准备探个究竟。

登陆云服务器后,重启OA服务,发现报错,报错提示连接线程池连接不上。根据提示,怀疑是连不上部署在本地的数据服务器,在云服务器上ping 了一下数据服务器的1433端口发现果然无法ping通。

想了一下上周下班的时候又没有对配置进行什么修改,怎么会这样呢?

灵机一动,打开资源管理器一看,发现其中有一个叫做windows Microsoft的程序占用了百分之87的CPU资源:

看到这里,感觉有一丝不对劲,右键查看该进程的文件位置,打开后是这样一个exe文件:

众所周知,lsass.exe是一个系统文件,用于本地安全和登陆策略,根本不可能会一下子占87的内存吧。

这个时候,正好IT的同事进来告诉我,收到阿里云服务器被攻击的消息:

瞬间真相水落石出。我发现的这个伪装成lsass.exe的文件应该就是所谓的挖矿程序,并且阿里云服务器发现后自动关闭了全部端口,导致我在这台服务器上的OA系统无法启动(因为连接不上本地数据库)。

当时也是比较紧急的情况,然后之前也没有遇到过类似情况,虽然在网上也查了一些应对的资料和方法但也不敢随意用。因为主要都是删除查杀操作,怕删了不该删的东西,于是还是觉得找阿里云团队,发现问题后立马下达工单让对方解决(对方也是花了半天多时间解决,在下午2点左右通知我们可以使用了),同时也是找了一下自己这边的原因和之后遇到该类情况的解决办法。

根据得到的一些反馈信息,猜测漏洞入口应该是我们使用的windows系统自带的远程连接,且我们的远程连接密码是弱密码,被对方暴力破解了。

解决办法是将我们远程连接的密码尽可能使用强密码,从原来8位改到了现在16位。到目前为止,我们的服务器没有被再次入侵过。

想要了解更多的同学,可以参考这篇博文,了解挖矿程序的机制,这里我就不班门弄斧了:

https://blog.csdn.net/YoungCain/article/details/87919048

整个病毒的运行过程:

然后因为挖矿程序大多进程直接删除删不掉的,过一段时间又会自己启动出来,原因是挖矿程序在系统中写了定时任务:

通过以下语句可以查看windows系统下定时任务和删除定时任务(在CMD中运行如下命令):

schtasks /query       --查看定时任务

schtasks /delete /tn "crontab_name"   --删除某个定时任务 

如果挖矿程序做了保护机制,篡改了你系统中的一些函数,导致你无法调用命令,那你只能先去一台正常的电脑上把对应的函数文件拷贝到该电脑并尽快通过命令删除定时任务和kill 挖矿命令。

记一次遇到挖矿程序的经历相关推荐

  1. 记一次感染挖矿病毒的经历

    2019独角兽企业重金招聘Python工程师标准>>> 下午五点十分.手机开始狂收阿里云ECS实例告警,所有告警都提示机器CPU满载. 迅速登录阿里云查看监控大盘,发现全部38台机器 ...

  2. 记一次Java多线程程序调试经历:HttpClient 死锁

    我自己写了一个爬虫程序,跑了半天后程序就卡死了,没有任何输出和动静. 先是使用jstatd和VisualVM,参考这篇文章:jstatd,VisualVM使用和报错解决 结果如下图: 看到内存毫无变化 ...

  3. 记几次被恶意挖矿程序占满linux服务器cpu的经历

    过程一: 1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9  pid 杀 ...

  4. 记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(一摸一样,只是没查到怎么进来的,入侵)

    centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1.原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2.查看进程 1 [root@izwz94xp1kwkca ...

  5. 记一次服务器被挖矿程序占用的解决过程

    公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图) 这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是 ...

  6. 记一次个人服务器被nicehash挖矿,排查挖矿程序记录

    一:早上起来,发现短信邮箱都收到阿里云提示,租赁的一台虚拟云服务器,异地登录,被植入挖矿程序的提示: 二:打开电脑,终端连接服务器,发现登录不进去,第一反应,远程连接密码被修改,登录阿里云控制台,修改 ...

  7. 记:解决阿里云服务器挖矿程序恶意进程

    今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护): 解决过程: 1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题 ...

  8. 阿里云服务器被挖矿程序侵入问题

    一.起因 公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内).一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程 ...

  9. gitlab漏洞导致服务器被植入挖矿程序

    记一次安全告警事件的处理 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞GitLab rce ( ...

最新文章

  1. 网络营销十技之六:联署计划营销
  2. 解决Python自带的json序列化工具不能序列化datetime类型数据问题
  3. leetcode 141. 环形链表(快慢指针解法)
  4. P6669 [清华集训2016] 组合数问题
  5. figma下载_如何在Figma中创建逼真的3D对象
  6. kafka性能高的影响因素
  7. 14.PHP核心技术与最佳实践 --- PHP 编码规范
  8. MX160煲机音乐的选择
  9. 身份证有效验证方法,
  10. python中的pika模块
  11. 「玩物得志 App」:一家典型的云原生企业,如何在创业早期数次“弯道超车”? | 云原生Talk...
  12. 三点运算符(...)的使用
  13. 银行信用卡OCR识别
  14. 【Optimizaition/x86】Intel CPU的CPUID指令获取的C实现
  15. windows server 2012 R2登录密码忘了怎么办呢?
  16. Linux更换镜像源
  17. 语义分割-CyCADA: Cycle-Consistent Adversarial Domain Adaptation.循环一致对抗领域自适应
  18. 数学基础 - 矩阵的基本运算(Matrix Operations)
  19. mysql中id是什么_数据库中的id是什么
  20. 5.32 综合案例2.0 - TTS语音云播报(支持M320开发板)

热门文章

  1. 用C++语言写游戏——打怪小游戏
  2. 【神奇的电报】CSP题目 C++实现
  3. vlc插件详细使用说明
  4. android 计算图片大小
  5. pyqt QLabel详细用法
  6. 经典算法(4)图解快速排序算法及代码实现
  7. js 压缩html 图片上传,js canvas 前端实现修改图片尺寸压缩图片大小
  8. Android的apk安装时签名相同冲突解决
  9. 神经网络中的对抗样本
  10. 【FPGA】时钟信号几种设计方法