阿里云服务器提醒发现肉鸡行为,服务器正对外发动 ENternalblue 攻击

2017-08-16 07:45:12 +08:00
 tianxiacangshen
不是收到 enternalblue 攻击,而是服务器成了肉鸡向别人发起了攻击,各位大神,这怎么破?😫😫😫
3900 次点击
所在节点    PHP
13 条回复
xxoxx
2017-08-16 07:47:33 +08:00
停掉 server、netbios 服务,禁止 135、137、445 端口外联
u5f20u98de
2017-08-16 08:08:00 +08:00
服务器被人入侵了,排查有没有 webshell 或者可疑进程、未授权登录的日志,然后根据相关信息修复漏洞并重装系统,防止无法清理的 rootkit 等隐藏的后门。重装完了防火墙加个禁止主动对外连接的规则。
huage
2017-08-16 08:19:30 +08:00
最近的攻击确实很多,我也打算重装系统。

新的服务器,都是使用 win s 2016,启用 defender 和防火墙,而且在安全组访问了,做了严格限制,只允许自己知道的端口出入访问。
KoleHank
2017-08-16 08:31:46 +08:00
不会跟 xshell 的后门有关系吧
90safe
2017-08-16 08:47:25 +08:00
看 log 吧
ZeoZhang
2017-08-16 08:49:31 +08:00
赶紧关机。
tianxiacangshen
2017-08-16 09:48:39 +08:00
@ZeoZhang 为啥?好像运行一下就停止了
Junfo
2017-08-16 10:21:29 +08:00
最新紧急事件 更多

2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序
2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序

检查计划任务、检查所有进程,分别 kill 掉...不知道还会不会再出现
tianxiacangshen
2017-08-16 10:49:07 +08:00
@Junfo 我也只是把官网提示的进程杀掉了

肉鸡行为 -- EternalBlue (ECS)xxxxxxxxxxxxx
发现服务器正在对外发动 EternalBlue 攻击

进程名:mssecsvc.exe 物理路径:C:/Windows/mssecsvc.exe
jarlyyn
2017-08-16 10:54:29 +08:00
服务器被入侵了,不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢……
sofs
2017-08-16 11:07:02 +08:00
不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢…
xiqingongzi
2017-08-16 12:20:01 +08:00
先禁掉所有的对外端口,以免因攻击被服务商停掉服务。
然后通过远程登录,上线,将文件打包。
打开一些安全端口,用了下载备份文件
重装业务
yzmm
2017-08-16 17:24:19 +08:00
看起来你该重装环境了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/383271

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX