记一次遇到挖矿程序的经历

就在几天前,遇到了一次挖矿程序偷偷装在ECS阿里云服务器上的经历。

那是一个风和日丽的上午,我和往常一样来到公司,倒杯水等待电脑打开,之后打开日常维护的几个系统。

结果其中有一个OA系统,发现无法正常打开。一开始我以为是网络问题,但是发现打开其他网站正常,于是登上服务器准备探个究竟。

登陆云服务器后,重启OA服务,发现报错,报错提示连接线程池连接不上。根据提示,怀疑是连不上部署在本地的数据服务器,在云服务器上ping 了一下数据服务器的1433端口发现果然无法ping通。

想了一下上周下班的时候又没有对配置进行什么修改,怎么会这样呢?

灵机一动,打开资源管理器一看,发现其中有一个叫做windows Microsoft的程序占用了百分之87的CPU资源:

记一次遇到挖矿程序的经历_第1张图片

 

看到这里,感觉有一丝不对劲,右键查看该进程的文件位置,打开后是这样一个exe文件:

记一次遇到挖矿程序的经历_第2张图片

众所周知,lsass.exe是一个系统文件,用于本地安全和登陆策略,根本不可能会一下子占87的内存吧。

这个时候,正好IT的同事进来告诉我,收到阿里云服务器被攻击的消息:

记一次遇到挖矿程序的经历_第3张图片

记一次遇到挖矿程序的经历_第4张图片

 

瞬间真相水落石出。我发现的这个伪装成lsass.exe的文件应该就是所谓的挖矿程序,并且阿里云服务器发现后自动关闭了全部端口,导致我在这台服务器上的OA系统无法启动(因为连接不上本地数据库)。

当时也是比较紧急的情况,然后之前也没有遇到过类似情况,虽然在网上也查了一些应对的资料和方法但也不敢随意用。因为主要都是删除查杀操作,怕删了不该删的东西,于是还是觉得找阿里云团队,发现问题后立马下达工单让对方解决(对方也是花了半天多时间解决,在下午2点左右通知我们可以使用了),同时也是找了一下自己这边的原因和之后遇到该类情况的解决办法。

根据得到的一些反馈信息,猜测漏洞入口应该是我们使用的windows系统自带的远程连接,且我们的远程连接密码是弱密码,被对方暴力破解了。

解决办法是将我们远程连接的密码尽可能使用强密码,从原来8位改到了现在16位。到目前为止,我们的服务器没有被再次入侵过。

 

想要了解更多的同学,可以参考这篇博文,了解挖矿程序的机制,这里我就不班门弄斧了:

https://blog.csdn.net/YoungCain/article/details/87919048

整个病毒的运行过程:

记一次遇到挖矿程序的经历_第5张图片

然后因为挖矿程序大多进程直接删除删不掉的,过一段时间又会自己启动出来,原因是挖矿程序在系统中写了定时任务:

通过以下语句可以查看windows系统下定时任务和删除定时任务(在CMD中运行如下命令):

schtasks /query       --查看定时任务

schtasks /delete /tn "crontab_name"   --删除某个定时任务 

 

如果挖矿程序做了保护机制,篡改了你系统中的一些函数,导致你无法调用命令,那你只能先去一台正常的电脑上把对应的函数文件拷贝到该电脑并尽快通过命令删除定时任务和kill 挖矿命令。

 

你可能感兴趣的:(运维)