V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
suhun
V2EX  ›  问与答

腾讯云服务器发现木马

  •  
  •   suhun · 2017-05-04 18:24:12 +08:00 · 6970 次点击
    这是一个创建于 2741 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好久(2-3 个月以上)没有登陆过的一台腾讯云 Windows Service 2008 的服务器今天突然发邮件说发现木马病毒。

    路径 C:\Windows\netcore.exe
    发现时间 2017-05-04 17:26:39
    路径 C:\Windows\winhost.exe
    发现时间 2017-05-04 17:26:38

    详细问题:服务器只有一个 nginx 做负载挂着几个域名,都在备案,不能访问,其他任何程序都没有装。端口 80/443/3389 什么的都暴露公网,查询腾讯云登陆记录只有我刚才登陆的记录,并且没有暴力破解记录。进程在任务管理器中查看都在启动,netcore.exe 占用 99%CPU。winhost.exe 是一个 csgo 图标的程序。

    附:文件下载连接(已打包"疑似病毒文件 170504.zip",有没有毒未知,请谨慎下载)
    链接: https://pan.baidu.com/s/1qYygD44 密码: 9yx6

    希望知道发生了什么的能帮忙分析下,谢谢了!

    19 条回复    2017-05-05 08:51:52 +08:00
    wevsty
        1
    wevsty  
       2017-05-04 18:27:24 +08:00   ❤️ 1
    有允许 SMB 协议?
    如果允许了 SMB 协议,那有可能是最近的神洞导致的。
    要不然就是 web 方面的漏洞导致的入侵。
    choury
        2
    choury  
       2017-05-04 18:31:14 +08:00   ❤️ 1
    suhun
        3
    suhun  
    OP
       2017-05-04 18:33:52 +08:00 via Android
    @wevsty SMB 协议还真不知道,装上 08 以后没有改过设置。web 方面只是挂了几个单页面,没有数据库。
    40huo
        4
    40huo  
       2017-05-04 18:35:19 +08:00 via Android   ❤️ 1
    一般 445 都是开着的,nsa 神洞秒杀
    suhun
        5
    suhun  
    OP
       2017-05-04 18:36:49 +08:00
    @choury 看来我裸奔很危险呀,Windows defender 老在我玩游戏时候占用 99%CPU,就给关了,刚才复制到自己电脑没有任何提示
    wevsty
        6
    wevsty  
       2017-05-04 19:25:00 +08:00   ❤️ 1
    @suhun
    检查一下 SMB 有关的端口是不是打开了,外网是不是可以直接访问,如果是的话那估计八九不离十是 SMB 神洞导致的入侵了。
    如果是的话建议重装一下,打好补丁,防火墙方面只开放必要的端口以保安全。
    lany
        7
    lany  
       2017-05-04 19:25:37 +08:00 via Android   ❤️ 1
    最近爆的漏洞 server 2008 死了一片
    suhun
        8
    suhun  
    OP
       2017-05-04 20:01:20 +08:00 via Android
    @wevsty 好的,回头先重装下系统再弄防火墙,非常感谢!
    gamexg
        9
    gamexg  
       2017-05-04 20:01:53 +08:00 via Android
    一个客户的 2008 上个星期重启了 3 天,帮忙看了转储,就是 smb 漏洞。
    jasontse
        10
    jasontse  
       2017-05-04 20:05:10 +08:00 via iPad
    这个 0day 至少闹了半个多月了,一票人被勒索比特币。
    AsherG
        12
    AsherG  
       2017-05-04 20:15:41 +08:00
    被 eav 秒了。。。
    jimisun
        13
    jimisun  
       2017-05-04 20:17:07 +08:00 via Android
    我的也出现了 学生机
    jarell
        14
    jarell  
       2017-05-04 21:24:55 +08:00
    @jasontse
    @40huo
    windows 自带的防火墙也拦不住么 ? 我记得防火墙默认不开放这个端口的啊
    wtbhk
        15
    wtbhk  
       2017-05-04 21:26:32 +08:00
    就是最近那个 0day,这个锅腾讯云不背
    40huo
        16
    40huo  
       2017-05-04 21:36:44 +08:00
    @jarell #14 防火墙不清楚,还是布置个安全组吧。
    derpc
        17
    derpc  
       2017-05-05 00:04:08 +08:00
    昨天刚买的新机,还没开始用,完全裸奔。一看也中了!
    anyele
        18
    anyele  
       2017-05-05 08:11:36 +08:00 via Android
    我其实想问问那些裸奔就光荣的人,还裸奔吗
    chinafeng
        19
    chinafeng  
       2017-05-05 08:51:52 +08:00 via iPhone
    腾讯云默认如果没做设置,那就是被秒杀了…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3778 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:16 · PVG 12:16 · LAX 20:16 · JFK 23:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.