这是一个创建于 2741 天前的主题,其中的信息可能已经有所发展或是发生改变。
好久(2-3 个月以上)没有登陆过的一台腾讯云 Windows Service 2008 的服务器今天突然发邮件说发现木马病毒。
路径 C:\Windows\netcore.exe
发现时间 2017-05-04 17:26:39
路径 C:\Windows\winhost.exe
发现时间 2017-05-04 17:26:38
详细问题:服务器只有一个 nginx 做负载挂着几个域名,都在备案,不能访问,其他任何程序都没有装。端口 80/443/3389 什么的都暴露公网,查询腾讯云登陆记录只有我刚才登陆的记录,并且没有暴力破解记录。进程在任务管理器中查看都在启动,netcore.exe 占用 99%CPU。winhost.exe 是一个 csgo 图标的程序。
附:文件下载连接(已打包"疑似病毒文件 170504.zip",有没有毒未知,请谨慎下载)
链接: https://pan.baidu.com/s/1qYygD44 密码: 9yx6
希望知道发生了什么的能帮忙分析下,谢谢了!
19 条回复 • 2017-05-05 08:51:52 +08:00
 |
1
wevsty 2017-05-04 18:27:24 +08:00  1
有允许 SMB 协议?
如果允许了 SMB 协议,那有可能是最近的神洞导致的。 要不然就是 web 方面的漏洞导致的入侵。 |
 |
2
choury 2017-05-04 18:31:14 +08:00 1
下载下来就被 Windows defender 杀了
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:Win64/SvcMiner |
 |
3
suhun OP @wevsty SMB 协议还真不知道,装上 08 以后没有改过设置。web 方面只是挂了几个单页面,没有数据库。
|
 |
4
40huo 2017-05-04 18:35:19 +08:00 via Android 1
一般 445 都是开着的,nsa 神洞秒杀
|
|
5
suhun OP @choury 看来我裸奔很危险呀,Windows defender 老在我玩游戏时候占用 99%CPU,就给关了,刚才复制到自己电脑没有任何提示
|
|
6
wevsty 2017-05-04 19:25:00 +08:00 1
@suhun
检查一下 SMB 有关的端口是不是打开了,外网是不是可以直接访问,如果是的话那估计八九不离十是 SMB 神洞导致的入侵了。 如果是的话建议重装一下,打好补丁,防火墙方面只开放必要的端口以保安全。 |
 |
7
lany 2017-05-04 19:25:37 +08:00 via Android 1
最近爆的漏洞 server 2008 死了一片
|
 |
9
gamexg 2017-05-04 20:01:53 +08:00 via Android
一个客户的 2008 上个星期重启了 3 天,帮忙看了转储,就是 smb 漏洞。
|
 |
10
jasontse 2017-05-04 20:05:10 +08:00 via iPad
这个 0day 至少闹了半个多月了,一票人被勒索比特币。
|
 |
11
stephen9357 2017-05-04 20:15:14 +08:00
|
 |
12
AsherG 2017-05-04 20:15:41 +08:00
被 eav 秒了。。。
|
 |
13
jimisun 2017-05-04 20:17:07 +08:00 via Android
我的也出现了 学生机
|
 |
15
wtbhk 2017-05-04 21:26:32 +08:00
就是最近那个 0day,这个锅腾讯云不背
|
 |
17
derpc 2017-05-05 00:04:08 +08:00
昨天刚买的新机,还没开始用,完全裸奔。一看也中了!
|
 |
18
anyele 2017-05-05 08:11:36 +08:00 via Android
我其实想问问那些裸奔就光荣的人,还裸奔吗
|
 |
19
chinafeng 2017-05-05 08:51:52 +08:00 via iPhone
腾讯云默认如果没做设置,那就是被秒杀了…
|
Select Language