您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

记两天与木马惊心动魄的斗争经历

时间:2020-07-19 11:59:55  来源:  作者:

本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。

直到后来有一天,忽然发现服务器上的虚拟机无法启动了,一查原因居然是文件名被加上了“.id[3887BAE2-2921].[holylolly@airmail.cc].eking”的后缀。我试着把后缀去掉,再改回“.vdi”的格式,可发现改回来虚拟机依旧无法识别文件。因为之前有被虚拟机软件坑过的经历,所以以为又是虚拟机异常关闭造成文件被损坏了。除了有些小郁闷之外(又得重做一遍虚拟机系统、安装各种软件了),倒也没多想。先放放再说吧,等爷哪天有空了再说。

于是又过了两天,忽然发现服务器上很多文件后缀名都被加上了诸如“.[holylolly@airmail.cc].eking”的后缀。

我试着把原本是txt格式的文件的后缀再改回.txt,发现文件内容依旧是乱码。直觉告诉我,事情没有想象的那么简单了。于是赶紧导出svn服务器里的各种资料文件。还好,svn服务器还能正常使用。就在导出的同时,我发现电脑中所有的exe、bat等可执行文件全部被改名了,还有txt、xml等文件,以及大部分的jpg等图片文件也全部被改名了。而正在运行的可执行程序,也纷纷地停止服务……在这一刻,我直觉得两眼一黑,感觉世界末日都要来临了!就好像三体快到结尾处太阳系被二向箔一点点吞没般恐怖!

幸好,svn服务器上的资料没用太长时间就全部备出来了。为了防止病毒将svn的备份文件也破坏掉,我赶紧把后缀改为黑客们不感兴趣的名字了。为了防止USB接口给备份用的移动硬盘带毒,我特意通过网络共享的方式将备份出的文件拷贝到本机了。

然而,就在我备份完毕后的五分钟之后,svn server也应声倒地,svn server可执行程序所在的文件夹变成了这幅惨状:

记两天与木马惊心动魄的斗争经历

真是苍天有眼,谢天谢地!

于是,我赶紧百度,发现原来部门的服务器被勒索了!凭借早年我当“红客”积累的些许经验,我准确的找到了病毒的老巢:

记两天与木马惊心动魄的斗争经历

更没想到的是病毒居然是用一个普通权限的账户启动的!瞬间刷新了我的三观!于是果断删掉了病毒。

我们的团队太小,肯定支付不起巨额的赎金,无奈之下只好重做了系统。为了在有生之年能等到解密程序出炉,我没舍得直接格盘。为了防止盘里带毒进而影响到新装的系统,干脆把原来的所有硬盘全卸下来了,买了块新盘搭上了,还把操作系统换成了windows Server 2016。

之前网上一直传说Win7不再升级了,所以安全性不再有保证了。我对这个一直不懈。个人感觉Win7比起之前的XP系统安全性不知提升了多少个层级,所以即便不再更新,也不应该会有多大问题的。更何况还有杀毒软件在保驾护航那。自以为可以高枕无忧了。没想到会栽倒在一个Win7普通用户的权限这里!

当把服务器的操作系统换成了Windows Server 2016后,我果断创建了一个只能执行一般权限,并只对个别目录有读取权限的账户,还安装了小红伞杀毒软件。还把svn备份文件顺利还原了,这颗悬着的心才稍微放下来点儿。

于是这才开始重新安装虚拟机。因为Windows Server 2016有了自带的Hyper-V,微软自家的东西,估计兼容性要比其他虚拟机软件强很多。我便不再尝试之前一直在用的VB和VM了。

第一次用Hyper-V,感觉还可以吧,除了需要配置一个虚拟网络才能让虚拟机联网外,其他概念并没有太大的区别。于是开始安装Ubuntu虚拟机,紧接着又装了ssh-server和Docker,并将原来的各种容器一一恢复。总算可以长舒一口气了!

今早想起另一台数据库服务器也还裸着,就来公司计划给数据库服务器也装一下小红伞。刚到公司,说看看昨天新装的应用服务器的运行状况吧,看了下,运行良好,只是CPU利用率维持在100%左右。职业习惯促使我看了下是哪个程序占用这么高,发现是昨天新装的Ubuntu虚拟机。还好,主机本身是没问题的。于是就开始给数据库服务器安装小红伞。

过了一会儿,我又登录进了应用服务器,发现CPU的利用率还维持在100%。这就奇怪了,这会儿就一个同事在用,而且只是请求一个简单的http,不应该导致虚拟机的CPU利用率飙到这么高呀。

于是我进到Ubuntu里看了下,发现有个名叫kdevtmpfsi的进程导致虚拟机的CPU利用率占满了。因为我对linux不是很熟悉,再加上这个账户是以root身份启动的,我怕是什么系统服务,就没太在意。

过了一会儿,我越想越觉得事有蹊跷,那就看看这个程序的路径吧,发现是在/tmp下,那就不是什么重要的程序了,于是果断将其终止。

然而不到两秒钟,它又来了!我试着再次将其终止后又对可执行程序进行了重命名,发现它又回来了!于是赶紧百度,发现我才装了不到12个小时的新虚拟机竟被当做挖矿机了!

记两天与木马惊心动魄的斗争经历

真是命运多舛!我只好重新再来一遍了!

不行!身为一个没落的“红客”,我怎么能受这样的窝囊气哪?于是我赶紧将root的ssh登录权限给去掉了,并将工作用户的密码设为了复杂密码。这下/tmp目录下再也没有矿机了!CPU利用率也终于稳定在到1%左右了。

然而这还没结束,一个小时之后,当我无意中说再看下CPU的利用率吧,竟然又飙到100%了!这次居然是以当前登录的普通用户运行的挖矿程序,还是在/tmp下创建的同名程序。好吧,非得逼爷爷我动粗!

于是,我首先将矿机程序清除,然后创建了一个与矿机程序同名的文件夹,并将其读写及可执行权限全部从当前用户移除了。这里我用到了一个操作系统的一个小技巧——当创建一个文件时,如果有同名的文件夹存在,那么这个文件就无法创建成功。就这样,我成功的把矿机的下脚处给占了,矿机也就无处显形了。

在持续观察了五个多小时后,到目前为止挖矿机再也没启动,应该是没有问题了。

总结一下自己的惨痛“经历”,奉劝大家遵守如下最起码的安全规程:

第一、 机器的密码一定不能设置的太简单

第二、 一定要给机器安装靠谱的杀毒软件,推荐卡巴斯基、小红伞等百年软件

第三、 除非特殊情况下,否则一定不要使用超级管理员账户来工作或操作,最好将超级管理员账户禁用或改名

第四、 工作用户的权限一定要进行严格的限定,防止对系统关键文件产生破坏

最近病毒和木马肆虐,再加上中美贸易战的影响,很多机房都被美国黑客给攻击了。所以请大家做好防护。

希望自己上述的经历能给大家带来一点启发和帮助。



Tags:木马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  Tags: 木马  点击:(24)  评论:(0)  加入收藏
一、知识点详解msfconsole,进入msf控制端show options,查看设置的ip地址和端口号是否写入run,根据写入的ip地址和端口号,开启监听服务help,在进入安卓手机的控制端,查看可以使用的...【详细内容】
2021-10-08  Tags: 木马  点击:(63)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  Tags: 木马  点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  Tags: 木马  点击:(69)  评论:(0)  加入收藏
一、网络配置1、首先保证所有的设备(kali虚拟机和安卓手机)都连接到同一个局域网(Wi-Fi)下。在现实生活中,黑客通常找寻免费的公共Wi-Fi,来保证有足够多的安卓手机供其渗透。所以...【详细内容】
2021-08-02  Tags: 木马  点击:(215)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08  Tags: 木马  点击:(144)  评论:(0)  加入收藏
电脑木马病毒是目前比较流行的病毒文件通过特定的程序来控制另一台电脑木马与其他病毒不一样的是,它不会传染到其他电脑只会在你的电脑破坏和窃取文件,甚至会控制你的电脑主...【详细内容】
2020-10-27  Tags: 木马  点击:(200)  评论:(0)  加入收藏
电脑木马病毒常常善于伪装,经常潜伏在各种知名工具中通过各大下载站分发传播,比较多见的就是各种破解工具,一般使用的时候那些破解工具会提示让添加杀毒软件白名单,这里很大一部...【详细内容】
2020-09-23  Tags: 木马  点击:(168)  评论:(0)  加入收藏
一句话木马是Webshell的一种,那什么是Webshell?先讲讲什么是shell。Shell是系统的用户界面,提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执...【详细内容】
2020-08-11  Tags: 木马  点击:(383)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19  Tags: 木马  点击:(97)  评论:(0)  加入收藏
▌简易百科推荐
log4j漏洞的形成原因已经有很多分析文章了,这里说一说我是如何在了解到有漏洞后,跟进漏洞产生原理的,以及发现的一些绕WAF tips跟进漏洞产生原因的思路如何发现漏洞产生的原因...【详细内容】
2021-12-22  IT野涵    Tags:og4j漏洞   点击:(8)  评论:(0)  加入收藏
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  极牛网    Tags:恶意木马   点击:(24)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  极客小君    Tags:木马   点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  代码大叔    Tags:特洛伊木马   点击:(69)  评论:(0)  加入收藏
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14      Tags:恶意代码   点击:(131)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08      Tags:木马   点击:(144)  评论:(0)  加入收藏
前言这次检查并不是帮我,而是帮一位粉丝。当时私聊我的时候我还挺高兴的,至少得到了认可。 这次文章我也征求了他的同意才发出来的。也请别说我侵犯他人隐私。 过程早上醒...【详细内容】
2020-08-31      Tags:程序后门   点击:(149)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19      Tags:木马   点击:(97)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24      Tags:木马突袭   点击:(130)  评论:(0)  加入收藏
相信大家都有这么一个经历,我们使用电脑,在某些来历不明的网站上下载一些程序,然后打开这些程序的时候,可能会出现以下的情况。 嗯没错,你电脑中的杀毒软件会给你发出温馨的提示,...【详细内容】
2020-04-07      Tags:木马病毒   点击:(169)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条