就在幾天前,遇到了一次挖礦程序偷偷裝在ECS阿里雲服務器上的經歷。
那是一個風和日麗的上午,我和往常一樣來到公司,倒杯水等待電腦打開,之後打開日常維護的幾個系統。
結果其中有一個OA系統,發現無法正常打開。一開始我以爲是網絡問題,但是發現打開其他網站正常,於是登上服務器準備探個究竟。
登陸雲服務器後,重啓OA服務,發現報錯,報錯提示連接線程池連接不上。根據提示,懷疑是連不上部署在本地的數據服務器,在雲服務器上ping 了一下數據服務器的1433端口發現果然無法ping通。
想了一下上週下班的時候又沒有對配置進行什麼修改,怎麼會這樣呢?
靈機一動,打開資源管理器一看,發現其中有一個叫做windows Microsoft的程序佔用了百分之87的CPU資源:
看到這裏,感覺有一絲不對勁,右鍵查看該進程的文件位置,打開後是這樣一個exe文件:
衆所周知,lsass.exe是一個系統文件,用於本地安全和登陸策略,根本不可能會一下子佔87的內存吧。
這個時候,正好IT的同事進來告訴我,收到阿里雲服務器被攻擊的消息:
瞬間真相水落石出。我發現的這個僞裝成lsass.exe的文件應該就是所謂的挖礦程序,並且阿里雲服務器發現後自動關閉了全部端口,導致我在這臺服務器上的OA系統無法啓動(因爲連接不上本地數據庫)。
當時也是比較緊急的情況,然後之前也沒有遇到過類似情況,雖然在網上也查了一些應對的資料和方法但也不敢隨意用。因爲主要都是刪除查殺操作,怕刪了不該刪的東西,於是還是覺得找阿里雲團隊,發現問題後立馬下達工單讓對方解決(對方也是花了半天多時間解決,在下午2點左右通知我們可以使用了),同時也是找了一下自己這邊的原因和之後遇到該類情況的解決辦法。
根據得到的一些反饋信息,猜測漏洞入口應該是我們使用的windows系統自帶的遠程連接,且我們的遠程連接密碼是弱密碼,被對方暴力破解了。
解決辦法是將我們遠程連接的密碼儘可能使用強密碼,從原來8位改到了現在16位。到目前爲止,我們的服務器沒有被再次入侵過。
想要了解更多的同學,可以參考這篇博文,瞭解挖礦程序的機制,這裏我就不班門弄斧了:
https://blog.csdn.net/YoungCain/article/details/87919048
整個病毒的運行過程:
然後因爲挖礦程序大多進程直接刪除刪不掉的,過一段時間又會自己啓動出來,原因是挖礦程序在系統中寫了定時任務:
通過以下語句可以查看windows系統下定時任務和刪除定時任務(在CMD中運行如下命令):
schtasks /query --查看定時任務
schtasks /delete /tn "crontab_name" --刪除某個定時任務
如果挖礦程序做了保護機制,篡改了你係統中的一些函數,導致你無法調用命令,那你只能先去一臺正常的電腦上把對應的函數文件拷貝到該電腦並儘快通過命令刪除定時任務和kill 挖礦命令。