主机中毒了

周五好友生日,刚吃完饭预备唱歌,接到信息说业务支付失败,疑问是银行前置机不可反常和银行建设衔接。

这台主机是银行那边亲身搭的,说瞎话我很少去治理:1、是一台Windows主机,我也不相熟(太菜:路走窄了)。2、不知道银行装了什么物品,动了会不会形成其余疑问(还是太菜:心里畏惧了)。3、业务量也不大,往常也没发生啥疑问(还是太菜:惯性思想)。

但是出了疑问,不得不论呀,歌也没唱了 ,跑到车库,关上电脑,开局一顿瞎操作。

先去查了一切的监控数据(这个时刻就靠它了)。

首先确定CPU、内存、磁盘IO、网络等都是反常的。

但是发如今疑问期间点,前置机的衔接数十分高(兴许这就是疑问的关键)。

没方法,先试试能不能远程进主机,发现是OK的。

先经常使用网络排查三板斧:(1)关上阅读器访问域名,发现不可建设衔接。(2)Ping域名,发现域名可以反常解析。(3)Telnet IP+Port,发现Telnet不通。

事先也没往衔接数曾经经常使用完上想。

而后就去找Windows的事情日志了,日志真实是太多了,多的发麻,看的头晕脑花,不过功夫不负有心人,还是发现点疑问,如下:

就是本地端口用完了,没有多余的端口可以调配经常使用会造成不可与外部通讯。

这就要说到TCP三次握手了,TCP客户端和主机衔接时,客户端必需调配一个灵活端口,不过这里就继续赘述了,大家都是大佬。

Windows自动灵活端口范围是1024-5000,也就是只能动员约0个Socket衔接,而后第一反响就是增大灵活端口调配范围(简直太痴呆了)。

而后我就更改了注册表([HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]),把端口范围增大到2000,而后重启了主机(货真价实的SRE(Server Reboot Enginer))。

服务重视启事先,必需是可以反常服务了,毕竟没有重启处置不了的疑问,假设有,那就再重启几次。

当然不,得找找为什么会有这么多衔接,反常的业务状况下,不会发生这种疑问。

所以就关上控制台,经常使用natstat -ano,不看不知道,一看吓一跳,发现十分多的链接都是和47.95.x.x启动的。

我经常使用netstat -ano | find "47.95.x.x" | find /c "80"一查,刚起的机器,就有2000多个衔接了,着实吓到我了。

先问业务方,确认该IP是不是第三方的,获取明白答案不是,我开局慌了。

而后在网上查,发现这个IP是阿里云北京数据中心的。

一开局认为是阿里云的某些专用云服务,比如阿里云盾、云监控等(懂的都懂)。

所以就间接找阿里咯,获取回复说不是阿里云盾这些服务的IP,我慌的一批,一种不好的预见萦绕心头。

马上把这个IP禁用了,在安保组给限度掉。

而后从netstat -ano可以发现关键是经过1060这个进程建设衔接的。

uqccmg这个进程一看就十分规进程(不合乎商定俗成的命名规定),当然也要确认一番。

获取准确答案后,尝试杀掉该进程,杀了又起,杀了又起,抓麻了。

而后经过进程去找到了文件。

看这非干流的图标,中毒无疑了。

试着删除该文件,当然是失败了,不过,也通晓了该进程是经过.net服务托管着的,那我就把.net停掉呗,反正没用这个服务。

停掉事先,确实可以杀该进程,而且也没有再启动了,衔接也少了。

病毒还是在的,只是没起了而已,仅此而已。

所以只要借助杀毒软件了,下了一个火绒,居然发现17个危险名目。

先经过杀毒软件把这个病毒干掉,详细有没有干洁净我也不知道了(菜是原罪)。

业务如今可以反经常常使用,socket衔接也是反常的,没再发现可疑进程 。

但是,心里总是没底,最好的方法还是重装,这还须要评价下迁徙和装置老本,关键不是我们自己装置,也不知道.....

经过这个教训,发现自己还是太菜:1、没有做好系统安保加固,没有装置杀毒软件啥的,关键是阿里云的云盾太贵.....2、没有经常审核主机,没做好日常巡检。3、放开了没必要放开的端口(银行开的,我也不敢关,咋办?)。4、对Windows主机天生逆反之心。

您可能还会对下面的文章感兴趣: