[阿里云] 牛逼了 服务器被拉去挖矿了

前言

就在刚才. 快要到期的阿里云服务器登不上去了.
好家伙,一看CPU. 98%
在这里插入图片描述
接着看下 报警细节.

在这里插入图片描述

在这里插入图片描述


入侵过程

  • 创建用户
    在这里插入图片描述

  • 添加用户组 管理员组
    在这里插入图片描述

  • RDP远程登陆
    在这里插入图片描述

  • 拉取挖矿程序 & 矿池通信
    在这里插入图片描述

  • 挖矿程序
    在这里插入图片描述
    PS: 这位老哥还贴心的帮我修改了管理员用户的密码. 让我登不上去. 可真是牛逼大了.


排查&修复

账户复查
  • cmd
  • lusrmgr.msc
  • 查看管理员用户& 组
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
挖矿程序复查

看一下传说中的挖矿程序.

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述


后记

在这里插入图片描述
在这里插入图片描述
刚才又去看了下。贴心的帮你把任务管理器删除了. 真牛逼。SFC /SCANNOW

如何修复taskmgr.exe的文件丢失
任务管理器被停用怎么打开
svchost是什么?怎样清除svchost.exe病毒?
svchost.exe 为什么会占用那么多 CPU?

1.端口维护在这里插入图片描述
2. 防火墙
3. 防止开启自动启动恶意程序
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup / shell:startup
在这里插入图片描述
Win10启动文件夹在哪里,Win10怎么添加开机启动项


反思

  • 不要在服务器把所有端口都打开。

  • 防火墙能不开就不开把。禁用防火墙会导致远程连接不上。

  • 定期查看服务器状态。设置报警信息。

  • 个人感觉这次是阿里云有了新的漏洞。让这些人有了可乘之机。

  • 最后。快过年了。挖矿的你是没有家人么?


Reference

[1]. Windows 入侵类问题排查思路


后记

在这里插入图片描述
过年都不闲着。唉。这种乱象大概只是冰山一角吧。

相关推荐
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页